トークン決済とは？なぜクレジットカード情報の漏洩対策になるのか

クレジットカード決済 2024.03.02

ネットショップでクレジットカード決済を導入した際に、決済方式の一つとしてよく耳にする「トークン決済」。なぜこのようなシステム設計をしないといけないの？と思われる方もいるかもしれません。

そこで今回は、国際基準のクレジット取引セキュリティを実現する上で新たなスタンダードとなっている「トークン決済」についてご紹介します。

情報漏洩リスクを軽減するトークン決済とは

「トークン決済」とは、ネットショップでお客様が入力するクレジットカード番号を、JavaScriptというプログラミング言語を用いて、カード情報を特定できないように別の文字列（トークン）に置き換えて通信を行い、決済を完了させる方式のことです。
（例.カード番号4444 1234 1234 1234 → トークン AaB456japhHkpLv4oPOa5n）

加盟店はこのトークン決済を利用することで、改正割賦販売法にてEC加盟店が要求されるされるクレジットカード情報の非保持化、つまりクレジットカード情報を「保存・処理・通過しない」の実現が可能になります。

またトークンが漏洩したとしても、クレジットカード情報そのものの情報は守ることができ、クレジット取引セキュリティ対策協議会が発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で推奨されている決済システムの一つです。

国家主導のクレジットカード決済におけるセキュリティ強化

トークン決済の必要性は、クレジットカードの不正利用と大きく関係しています。クレジットカードの不正利用被害は年々増加しており、2018年度の被害総額は235億円、2014年度の114億円と比較して4年で約2倍に拡大しています。(一般社団法人日本クレジット協会「クレジットカード不正利用被害額調査」より)。またクレジットカードの不正利用の分析では、「クレジットカードの偽造」から「クレジットカード情報の漏えい」が主な原因に変わっています。特にEC加盟店の脆弱なセキュリティをついた、インターネット上でのクレジットカード情報の窃取という手口が増えているのです。

今後、キャッシュレス化の普及によりクレジットカード決済の利用はさらに増加することが考えられます。消費者の安全な生活を守っていくために、インターネット上のセキュリティ強化は喫緊の課題となっており、またクレジットカード情報を扱う加盟店のセキュリティ対策は急務となりました。さらに2020年東京オリンピック・パラリンピックの開催・観光客誘致を見据えたキャッシュレス化もあり、経済産業省はクレジットカード取引における「国際基準のセキュリティ環境」の整備にむけ、加盟店に対し様々なセキュリティ対策の義務化に動いたのです。

加盟店に求められるセキュリティ対策

経済産業省は、2018年6月施行の「改正割賦販売法」における具体的指針として「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しています。この実行計画を簡単に整理すると、以下3本柱によって構成されています

1 EC取引　カード情報の漏洩対策(カードを盗らせない)
・加盟店におけるカード情報の「非保持化」 ※今回のトークン決済はこの非保持化を実現するためのものです！
・カード情報を保持する事業者のPCI-DSS準拠

2 対面取引　偽造カードによる不正利用対策 (偽造カードを使わせない)
・クレジットカードの「100%IC化」
・カード決済端末の「100%IC化」
・店頭カード決済端末のIC化対応

3 EC取引 ECにおける不正利用対策 (なりすましをさせない)
・多面的・重層的な不正利用対策の導入
・3Dセキュア、セキュリティコードを導入、配送先情報などを活用した不正使用防止

トークン決済がなぜ漏洩対策になるのか

次にトークン決済がなぜクレジットカード情報の漏洩対策になるのかについて、詳しく見ていきます。

ECサイトでクレジットカード決済を行う場合、クレジットカード番号、名義、有効期限などのクレジットカード情報の入力が必要になります。そのクレジットカード番号を、トークン決済ではランダムな別の文字列に置き換えて、通信する方法になります。
（例.カード番号4444 1234 1234 1234 → トークン AaB456japhHkpLv4oPOa5n）

従来のセキュリティ対策は、あくまでインターネット上でクレジットカードの情報が盗まれないように、つまりセキュリティの脆弱性を事前に検知することでクレジットカード情報の流出リスクを極力下げるための対策でした。しかしトークン決済は、カード情報が万が一漏洩した場合を前提に、暗号化の技術（トークン）でクレジットカード番号を別の文字列に変換することで、クレジットカード番号を特定させない手法になっています。どんなに対策を講じていても発生の恐れがある漏洩に対して、暗号化の発想を活かし、一段と高いセキュリティ対策を行っているのです。

トークン決済のシステムの裏側

「トークン決済」とは、ネットショップでお客様が入力するクレジットカード番号を、JavaScriptというプログラミング言語を用いて、カード情報を特定できないよう別の文字列（トークン）に置き換えて通信を行い、決済を完了させる決済方式とお伝えしました。
（例.カード番号4444 1234 1234 1234 → トークン AaB456japhHkpLv4oPOa5n）

しかし暗号化した意味のない文字列でどのようにして決済が行われるのか疑問に思われる方もいると思います。また改正割賦販売法の求めるクレジットカード情報の非保持化と定義される「保存・処理・通過しない」を実現できるの意味も少し分かりにくいですよね。そこでここでは図を用いて説明したいと思います。

■トークン決済・データの流れ
➀店舗は消費者のブラウザ上にクレジットカード入力ページを表示します。
➁消費者は、クレジットカード情報などの個人情報を入力し送信します。ここでJavaScriptを利用し、消費者のクレジットカード情報を店舗のサイトを経由せずに、直接決済代行会社に送信しています。
➂決済代行会社がクレジットカード情報を特定できないように、別の文字列に置き換え、つまり「トークン」形式で消費者に返却します。
➃➄ 改めて消費者の個人情報と➂で返却された生成された「トークン」が店舗経由で決済代行会社に送信されます。これにより店舗はクレジットカード情報以外の情報、例えば郵送先などを把握することができます。（また、消費者はあくまで➁の対応のみですが、システム上で➁から➄が実行されています。）
➅決済代行会社では➁で返却したトークン情報と➄で店舗から受信したトークンを照合します。その後対象のクレジットカード情報を復元し、クレジットカード会社に与信依頼を送信します。
➆～➈カード会社より与信結果を決済代行会社、店舗を経由し、消費者に返却します。消費者は購入画面から注文完了を確認します。

図の赤い矢印がトークン決済が活用されている箇所になります。「クレジットカード情報が加盟店のサーバーに経由しない」ため、加盟店からのカード情報の漏えいリスクが軽減されます。また仮にトークン情報が盗まれても、意味のない文字列のためクレジットカード情報に復元ができないという仕組みです。これがトークン決済の最大の特徴です。なお決済代行会社は厳格なセキュリティ審査を経た上でPCI DSSを準拠しているため、クレジットカード情報を取り扱うことが可能になっています。

Apple Payでも使われている！？トークン決済の動向

ここ1～2年で認知度を増したトークン決済ですが、実はVisaブランドが2010年にリリースした「Best Practices for Tokenization Version 1.0」というサービスが発祥です。カード情報の利用が日本の先を行くアメリカや欧州では、カード情報の非保持化に関しては2010年頃から積極的に取り組まれてきました。

クレジットカード決済先進国のアメリカでは、主要決済代行会社を中心に様々な場面でトークン決済が活用されています。昨今の例では「Apple Pay」がカード番号ではなくトークンを用いる決済に、指紋認証を組み合わせた高いセキュリティ手法をいち早く実装し、トークン決済の先駆者としても注目を集めています。アップルやグーグルはそれぞれ、Apple Pay、Android PayといったNFCとスマートフォン、指紋認証を組み合わせた決済サービスを展開していますが、いわばクレジットカードの分身（トークン）をスマートフォンに登録しているわけです。

クレジット決済のトークン化のほかにも、指紋認証を利用した非接触型のクレジットカードや、静脈認証、光彩認証などの生体認証決済も各社で開発が進んでおり、モバイル決済サービスや仮想通貨なども含めた新しい決済手段も本格的に導入が進んでます。