ども!!ペイメントシステム課エンジニアの川上です!!
今回はクレジットカード番号を安全に扱うための「トークン化」という仕組みについてお話します。
トークン化ってなに?
クレジットカードで決済するときにクレジットカード番号を別の情報(トークン)に置き換えて決済すること、これがトークン化です。
つまりクレジットカード番号を使わずに決済処理を行うための技術です。
サブスクペイのトークン決済はまさにこの仕組みで処理しており、エンドユーザー→加盟店→サブスクペイの間の通信では、クレジットカード番号の代わりにサブスクペイが発行したトークンを使用しています。
トークンを使用すればクレジットカード番号のやり取りを最小限にできるので、攻撃を受けた際にクレジットカード番号が漏洩するリスクを減らすことができます。
PSPトークンとブランドトークン
サブスクペイのような決済代行サービスを提供している事業者はPSP(Payment Service Provider=決済サービスプロバイダ)と呼ばれます。そのため、先ほどの説明のようにPSPが発行するトークンは「PSPトークン」と呼ばれることがあります。
一方でVISAやMastercardなど、いわゆる国際ブランドがトークンを発行する仕組みもあります。こちらは「ブランドトークン」とか「ネットワークトークン」と呼ばれます。ブランドトークンを使用すると、PSPとカード会社との間のやり取りもトークン化することができます。
ブランドトークンを用いたクレジットカード決済は、現在鋭意対応中です!!
ブランドトークンのメリット
クレジットカード番号とブランドトークンは1対多の関係にあります。
購入者が1枚のクレジットカードを使って、複数の店舗で買い物をした場合を想像してみましょう。
クレジットカード番号が同じでも、サブスクペイを通じて発行されるブランドトークンと、他のPSPを通じて発行されるブランドトークンは、まったくの別物となります。
つまり、あるPSP向けに発行されたブランドトークンを窃取できたとしても、別のPSP等では窃取したブランドトークンで決済することができません。
クレジットカード番号と大きく違うのがこの点です。
ブランドトークンは使用できる範囲が限定されているので、万一流出した場合にも悪用することが困難な仕組みとなっています。
ブランドトークンの目指す世界
国際ブランドとしては、トークン化を通じてPSPがクレジットカード番号を保持しないで済むような世界を目指しているようです。
仮に上記のような仕組みが構築できれば、PSPはクレジットカード番号を保持する必要が無くなります!!! でも、実際にはPSPとカード会社との間でクレジットカード番号を使う業務がありますので、まだまだクレジットカード番号は必要ですね・・・
参考資料:
A Deep Dive on Tokens - Visa Commercial Solutions White Paper https://corporate.visa.com/content/dam/VCOM/corporate/solutions/documents/a-deep-dive-on-tokens.pdf
ということで
今回は「クレジットカード番号を使わないクレジットカード決済」と題してトークン化についてお話しました。
ではまた!!
We are hiring!!
ROBOT PAYMENTでは一緒に働く仲間を募集しています!!!
