トークン決済とは?その仕組みや特徴、高セキュリティの理由

トークン決済とは?その仕組みや特徴、高セキュリティの理由 トークン決済とは?その仕組みや特徴、高セキュリティの理由

「トークン決済」をシンプルに解釈すると、トークナイゼーション(暗号化)技術を活用した、オンラインのクレジットカード決済方式です。

トークン決済の仕組み、導入メリット、必要性を徹底解説します。既存クレジットカード決済方式の「API」「リンク」と比較して、三者の違いを詳しく見ていきましょう。

「トークン決済」とは?

トークン決済とは、購入者が入力したクレジットカード情報を、JavaScriptというプログラミング言語を用いて、 クレジットカード情報を特定できないように別の文字列に変換する(トークン化)、高セキュリティのクレジットカード決済方式です。オンライン決済でお馴染みのクレジットカード決済を、セキュリティ面でバージョンアップした決済方式だといえるでしょう。

購入者から見ると、これまでのクレジットカード決済と画面遷移がさほど変わらないため、トークン決済を利用しているのか、その他の決済方式を利用しているのか判別することは困難です。しかし、裏側のシステム的なデータのやりとりが全く異なるものですので、詳しく説明します。

トークン決済の仕組み

ネットショップがトークン決済を利用することで、購入者が入力したクレジットカード情報を、JavaScriptというプログラミング言語を用いて、カード情報を特定できないよう別の文字列に変換(暗号化)し、カード決済を行うことが可能です。

個人情報漏えい原因

■トークン決済・データの流れ
1.購入者は、ネットショップに名前や住所などの購入者情報を入力
2.JavaScriptを利用し、購入者のカード情報をネットショップのECサイトを経由せずに、直接決済代行会社に送信
3.カード情報が特定できないように、別の文字列に置き換え(暗号化し)、「トークン」形式で購入者に返却
4.5.購入者情報と生成された「トークン」を決済代行会社に送信
6.ネットショップから受信した「トークン」をもとに決済代行会社にて2で購入者より直接入力いただいたカード情報を復元し、クレジットカード会社に与信依頼を送信
7.クレジットード会社より与信結果を購入者に返却、購入者はECサイトから注文完了を受取る

上記太字で表示しているように、「カード情報が加盟店を経由しない」ため「カード情報を特定できない」ことが、トークン決済の最大の特徴だといえるでしょう。

トークン方式と既存のAPI方式/モジュール方式・リンク方式の比較

では、馴染みのあるクレジットカード決済の既存方式と、どのような違いがあるのでしょうか。少し専門的な内容ですが、トークン決済を徹底的に解説するために、現在主流の「API方式/モジュール方式」と「リンク(画面遷移型)方式」※の仕組みを図解で比較しましょう。

リンク(画面遷移)方式とは、購入者がECサイトで支払い手続きを行う際、サイト画面より、決済代行会社が提供するオンライン決済システムに遷移することを指します。以下「リンク方式」と呼びます。

個人情報漏えい原因

トークン方式・API方式/モジュール方式・リンク方式の特徴まとめ

カード接続方式 画面遷移 購入プロセス 購入者の感触 カード情報伝送時の特徴
顧客情報入力画面 カード情報入力画面
1.リンク方式 ネットショップ→決済代行会社に遷移 ネットショップ 決済代行会社
画面デザインが変更

ネットショップがカード情報を保持しない
2.API方式/モジュール方式 ネットショップサイト内で完結 ネットショップ ネットショップ
一貫性
×
ネットショップサーバを通過(保持に等しい)
3.トークン方式 ネットショップのECサイト内で完結 ネットショップ 決済代行会社(ネットショップサイトに見えるように提供)
一貫性

ネットショップがカード情報を保持しない

上記3つの方式を画面遷移、購買プロセスの観点で比較してみました。
1.リンク方式の場合、顧客情報入力画面から、カード情報入力画面に遷移する際、画面の提供者がネットショップから、決済代行会社に変わります。そのため遷移時に画面デザインが変わり、購入者によっては統一感がなく、違和感を覚える場合があります。

一方、2.API方式/モジュール方式の場合、購入から決済完了まで一貫してネットショップのECサイト内で完結するため、購入者に高いユーザエクスペリエンス(利用者体験)をもたらすことが可能です。一方、購入者が入力したカード情報を含めた全データがネットショップサーバを通過するため、セキュリティ面で攻撃を受けた際に情報が漏えいする懸念点が残されます。

それに対して、3.トークン方式は、画面デザイン上、購入者に違和感を与えないまま購入が可能となり、ネットショップはカード情報を持たずに決済を提供することが可能です。つまり、トークン方式を利用したクレジットカード決済は、デザイン性と操作性、セキュリティの向上を兼ね備えた新しい決済方法といえるでしょう。

トークン決済の導入メリット

ここでは購入者側のメリットと、ネットショップ側のメリットを分けて、説明します。

<購入者の導入メリット>
1.クレジットカード不正利用のリスクの軽減
2.使い慣れた画面遷移で快適なネットショッピングを体験可能

<ネットショップの導入メリット>
1.情報漏えいリスクの軽減
2.ネットショップのECサイトで購入プロセスが完結するため、途中離脱率の低減
3.カード情報の「非保持化」※を実現することによって、ECサイトのセキュリティ向上

※「非保持化」というあまり見慣れない専門用語がまた現れました。この用語を解釈するため、トークン決済導入の必要性や背景について、後ほど説明します。

トークン決済が高セキュリティの理由

トークン決済の導入メリットは、高いセキュリティに尽きると言っても過言ではありません。それは、既存のセキュリティ対策と、根本的な発想が異なるからです。
今までのセキュリティ対策は、セキュリティ脆弱性を事前に検知し速やかに対策を講じるという、データが盗まれないようにするための対策となります。しかし、トークン決済は、どんなに対策を講じていても、発生してしまうかもしれない盗用や情報漏えいに対して、カード情報を守るための対策となります。万が一データが盗まれても、トークナイゼーション(暗号化・トークン化とも呼ばれる)技術で生成された無用なデータであれば不正利用のリスクが回避できます。

トークナイゼーションの仕組み

トークナイゼーションとは、購入者が入力されたカード番号のような大事な重要情報を、ランダムな別の文字列で置き換えて、送信する方法です。

カード番号 >トークナイゼーション> トークン
4980 1234 1234 1234 1Q2a 32eF 5L0q 2A3x 58d1

トークンが、仮に決済代行会社とクレジットカード会社以外の第三者に見られても、そこからクレジットカード番号を特定することはできません。
このように暗号化の発想を活かし、かつての技術的な縛りを突破して、一段と高いセキュリティ基準を満たした決済方法を提供できるようになりました。

トークン決済の導入を検討すべき方は?

ECサイトのセキュリティ向上に関心のある方、今後ECサイト開業を考案中の方、ECサイトリニューアル準備中の方、ECサイトでのクレジットカード決済をご利用される場合は一度「トークン決済」の導入を検討することをオススメします。

トークン決済がなぜ必要か?背景・経緯まとめ

トークン決済の必要性は、インターネット上のセキュリティ問題の深刻化に大きく関与しています。クレジットカードの不正使用被害は年々増加の一途を辿り、2019年度の被害総額は、3年前の2016年度の約2倍に達しました(一般社団法人日本クレジット協会「クレジットカード不正利用使用被害の発生状況」より)。また、その内訳の81%がECでの被害によるものです。

さらに、不正使用・なりすまし被害の手口の分析をすすめると、「クレジットカード偽造」から「クレジットカード情報の漏えい」へと変化しています。スキミングなどによる物理的なクレジットカード情報の窃取やクレジットカード偽造による悪用は減少し、インターネット上からクレジットカード情報を窃取し、同じインターネットを通じて不正に使用する被害が増加しています。

経済産業省の指針について

経済産業省はクレジットカード取引における「国際基準のセキュリティ環境」を整備することを目指し、2018年6月に施行された「改正割賦販売法」において加盟店に対するセキュリティ対策を義務化、これを実現するための指針として「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(下記「実行計画」を略称)を策定しました。

実行計画の内容を簡単に整理すると、下記3本柱によって構成されています。

区分 実施計画の内容 対応内容
1 クレジットカード クレジットカード情報の漏えい対策
(クレジットカードを盗らせない)
■クレジットカード情報の「非保持化」
■クレジットカード情報を保持する事業者のPCI-DSS準拠
■クレジットカード情報の非保持化
■PCI-DSSの準拠
2 対面 偽造カードによる不正利用対策
(偽造カードを使わせない)
■クレジットカードの「100%IC化」
■クレジットカード決済端末の「100%IC化」
■クレジットカード決済端末のIC化対応
3 ネットショップ ECサイトにおける不正利用対策
(インターネットでなりすましをさせない)
■多面的・重層的な不正利用対策の導入
■3Dセキュアや、セキュリティコードを導入、配送先情報などを活用した不正使用防止

「トークン決済」はECサイトを運営するために必要なカード情報の「非保持化」対策として位置づけられています。
EC業界は今後もさらに成長していく市場となることが予想されるため、トークン決済によるカード情報の「非保持化」、あるいはPCI-DSSへの準拠といったセキュリティ対策が不可欠になります。

ページトップへ戻る

カテゴリの記事一覧