はじめに

ここまでは主にモバイル端末（iPhoneやAndroid端末）へのカード発行をカード番号ではなくトークン番号でしている話をしてきましたが、最近では加盟店（ECサイト）が扱うカード番号もトークン化する動きが広まってます。加盟店トークン（加盟店Token）と呼ばれたりしますが、今回はこの概要とトークンの世界観について説明します。

加盟店トークンとは

カードのトークン化における概要とTSPについては以下でお話ししました。

これまで話してきた「カード番号のトークン化①〜③」では主に、カード発行会社（ISS）がモバイル端末（iPhone/Android端末）にカード発行する場合にカード番号ではなくトークン番号で発行するという目線でした。

加盟店トークンは読んで字の如くではありますが加盟店側のお話です。ECサイト（非対面加盟店）で買い物することはすでに日常だと思いますが、サイトに次回以降の買い物のためにカード番号を預けた経験があると思います。

※カード情報を保管するファイルを「Credential On File」と言ったりします

加盟店トークンは、ECサイト側でTSPを使ってカード番号をトークン化して預かってもらおうというものです。

TSPは各国際ブランドもサービス提供していることは説明しましたが、加盟店で預かるカード番号をTSPを使っってトークン化することも国際ブランドがルール化して進めています。

日本における現状

「#4 クレジットカード（板）の仕様」で割販法でIC対応が義務化されていることを話しました。

実は日本ではこのIC対応の義務化と同じく、加盟店におけるカード情報非保持化も進められていました。カードセキュリティに関しては PCI SSCという団体がPCI DSSという基準を策定しており、これを拠り所に対応が進められました。

※PCI DSSについてはTISさんがわかりやすく説明しているので参考で貼ります

この日本のカード情報非保持化対応は、PCI DSSに準拠した事業者がカード情報を保管するサービスを加盟店に提供したり、カード情報暗号化の技術（P2PEやDUKPT）を使うことでカード会社（ACQ）と加盟店はやっと対応が済んだ、というところで、そこへ国際ブランドが自社のTSPを使った加盟店トークンをルール化して推進している格好です。なので国際ブランドの加盟店トークンの対応には抵抗があったり、やや時間がかかっているのが現状です。

いずれにせよ加盟店側の対応はユーザーからは見えないところで行われてるセキュリティ対応なので、実感はないとは思います。。。

国際ブランドトークンの世界観

カード発行会社（ISS）が発行したカード（カード番号）で、モバイル端末へカード発行する際はトークン化した番号で発行するのとともに、ECサイトの決済時に入力されたカード番号をトークン化することで、国際ブランドネットワークとISS間以外ではトークン番号で決済がされるため、国際ブランドはこの世界観を目指しています。

なお、オーソリやクリアリングにおけるデトークン（トークン番号をカード番号に戻す）についてはカード番号のトークン化③で書きました。

まとめ

4回にわたってトークンについて書いてみました。カード番号の漏洩を防ぐため、できるだけトークン化する動きが国際ブランドの決済では進められています。また単にトークン化するだけではなく、対面であればIC認証、非対面であれば3Dセキュア相当の取引時認証をすることで、トークン番号が漏れただけで取引を完結させることも難しくなっています。とくに現在の不正取引の大半は非対面取引（EC）で起きているのでこのような技術を取り入れた対策が急務となっています。