クレジットカード番号のトークン化について耳にしたことはあるだろうか? トークン化が普及すればセキュリティーが向上するだけでなく、カード番号が変わっても再度登録する必要がなくなったり、ECショップで買い物をするときにカード番号を入力する必要がなくなったりといった世界が実現する。トークン化とはどんな技術なのか。Visaが提供する「Visaトークンサービス」の仕組み、クレジットカードの将来の姿などについて、ビザ・ワールドワイド・ジャパン コアプラットフォームソリューションズの田中俊一部長に話を聞いた。
EC向けにも広まりつつあるトークン化技術
田中氏は「トークン化はセキュリティーを向上させるだけでなく、決済におけるユーザー体験を革新できます」と話す。
クレジットカードは、これまでPAN(Primary Account Number)と呼ばれる16桁の数字で決済を処理してきた。この番号は、カード会員の口座情報や個人情報とひもづいていて、PANが流出すると不正利用につながりやすい。
トークン化とは、このPANを暗号化された数字に置き換えて発行する技術だ。もともとはApple PayやGoogle Pay向けに利用され普及してきたが、いまこれがEC向けにも広まろうとしている。
セキュリティを向上させるトークン化
ECの発展と共に急増しているのがクレジットカードの不正利用だ。日本クレジット協会の集計によると、2023年の不正利用被害額は540.9億円で、前年から23.9%も増加している。5年前から比べると2倍以上だ。
ICチップと暗証番号が普及し、偽造カードによる被害は減少傾向にあるものの、ECなどでの番号盗用による被害は急拡大し「直近の不正利用の96%は非対面」(Visa)だという。しかも7割が国内の店舗での取引で発生している。ECショップは次回以降の買い物の利便性を高めるために、ユーザーが入力したカード番号(PAN)を保管していることが多い。これがハッキングなどで狙われる形だ。
こうした事態に対応するため、業界団体の日本クレジット協会が事務局を務めるクレジット取引セキュリティ対策協議会はガイドラインを策定し、EC加盟店に対して「カード情報を保持しない非保持化、またはPCI DSSに準拠すること」を求めている。
しかしクレジットカード業界におけるセキュリティー基準であるPCI DSSへの対応は厳しく、コストもかかる。かといってカード情報を保存しなければ、ユーザーは買い物の度にカード番号を入力しなくてはならない。