クレジットカード情報を守る!トークン決済のメリットや注意点を解説

通信販売やオンラインサービスを利用する際、支払い方法のひとつとして定番なのが「クレジットカード決済」。しかし、クレジットカードは番号が分かれば基本的には誰でも使えてしまうため、情報の流出が不安な面もありますよね。

そこで注目されているのが「トークン決済」。しかし、本当に安全なのでしょうか?今回はトークン決済の仕組みやメリット、注意点などについて詳しくご説明しましょう。

カード情報がお店に漏れない!トークン決済の仕組みとは

まず、トークン決済の仕組みについてお話ししましょう。トークン決済は加盟店やカード会社と消費者の間に「決済代行会社」が入ることで、情報漏えいリスクを軽減するカード情報非通過型決済サービス。具体的には、以下のような関係性となります。

消費者(購入者)→トークン連携←加盟店(購入店舗)→トークン決済処理←決済代行会社→トークン返戻/カード情報送信←消費者(購入者)
決済代行会社→トークンをカード情報に置き換えて処理/オーソリ結果返戻←カード会社

※オーソリ:クレジットカード情報が有効か、限度額は問題ないかなどを確認する作業

トークン=クレジットカード番号を別の文字列に置き換えること

トークンは、本来のクレジットカード番号を別の文字列に置き換え、消費者(購入者)側の情報が加盟店に知られないようにするというものです。つまり、クレジットカード番号をECサイトで入力しても、その情報は直接店舗に通達されないというわけですね。

万が一トークンの文字列が第三者に露呈したとしても、それは一般的にまったく意味をなさない情報ですから、漏えいリスクはかなり軽減されると言えるでしょう。

Apple Payでも導入!アメリカでは既に幅広い場面で活用されている

トークン決済は、2010年にVisaブランドがリリースした「Best Practices for Tokenization Version 1.0」が発祥であると言われています。

キャッシュレスが広く普及しているアメリカや欧州ではとりわけ積極的に導入されており、近年では日本でも身近な存在となりつつある「Apple Pay」が、トークン決済に指紋認証を合わせた更に高度なセキュリティ手法をいち早く取り入れたことで話題となりました。

参考:モバイル決済とトークン技術(https://www.ibm.com/downloads/cas/2ABO3BZQ)※PDF

ソフトとハードがある?金融機関でも使われるトークン

トークンは、前述した通りクレジットカード番号をはじめとするプライベートな情報を暗号化し、安全性を高めるもの。しかし、そこで気になるのが「ソフトトークン」や「ハードトークン」という言葉です。

一見するとトークンには種類があるの?と思ってしまいますが、これはトークンで使用される暗号(ワンタイムパスワード)を表示するためのデバイスを指します。

ECサイトにおけるトークン決済とも無関係ではありませんが、一般的には金融機関(銀行)で本人確認のために用いられることが多く、以下のような違いが見られるので、念のため覚えておくと良いでしょう。

ソフトトークン

スマートフォンや携帯電話など、手持ちの機器をデバイスとしてワンタイムパスワードを生成するシステム。専用の機器が不要のため、申し込んですぐに様々な場所でワンタイムパスワードを活用できるようになります。ただし、スマートフォンのセキュリティ対策を入念に行うことが重要です。

ハードトークン

キーホルダーやカード、USBなど、提示された専用機器を用いてワンタイムパスワードを生成するシステム。ボタンひとつで簡単にワンタイムパスワードを生成でき、セキュリティ面も比較的強固と言えます。いっぽう、手持ちの機器を使えない事情から、使用までにある程度期間が必要となるケースが多いようです。

有効期限を把握すべし!トークン決済のメリット&注意点

このように、トークンはECサイトから金融機関まで幅広く導入が進んでおり、セキュリティ対策として信頼度の高い方法であることが分かります。では、具体的にはどのようなメリットがあるのか、詳しく見ていきましょう。

メリット① 情報漏えいのリスクを防げる

お話ししたように、トークン決済はクレジットカード番号等の情報が店舗に伝わらないため、消費者にとっては漏えいリスクを防げる利点があります。もちろん、店舗から見ても情報漏えいの心配が軽減されるのは非常にメリットが大きいですよね。

メリット② 販売者が適切にセキュリティ対策を行える

経済産業省やクレジットカード会社が執り行っている「クレジット取引セキュリティ対策協議会」は、2017年に発表した「実行計画」以降、EC事業者に対し実装すべき新たなセキュリティ対策のひとつとして「カード情報の非保持化」を挙げています。(参照:https://www.meti.go.jp/press/2018/03/20190304004/20190304004.html

つまり、店舗がカード情報を得られないようにしなければならない、ということですね。それが難しければクレジットカード業界におけるセキュリティ基準である「PCI DSS」の認定を受ける必要があり、より大きな手間やコストがかかってしまいます。そのためトークン決済の導入は、最低限のコストでカード情報の非保持化を実現できる方法とも言えるでしょう。

メリット③ システム変更のための作業コストが比較的少ない

トークン決済は一見複雑な仕組みに思えますが、実際には大幅なシステム変更が必要ありません。中にはJavaScriptをサイト内に数行埋め込むだけで実現可能なサービスも存在するので、他のセキュリティ対策ソフトを導入するよりも人件費や作業コストを削減できる可能性が高いのではないでしょうか。

メリット④ 離脱防止にも繋がる

トークン決済は、顧客の離脱防止にも一役買ってくれると言われています。トークン決済と似た手順で活用できる、セキュリティに優れた決済方法に「リンク型」と呼ばれるものも存在しますが、こちらは決済代行会社が作成した外部の決済画面を経由しなければならず、顧客が違和感を覚えやすいデメリットもあるようです。

その点、トークン決済は外部サイトを遷移する必要がないため、顧客にもナチュラルに受け入れられる傾向があり、離脱リスクを予防できるというわけですね。ブランドイメージを保った上で、セキュリティを強化したい方にもおすすめと言えるでしょう。

メリット⑤ 外貨にも対応している

基本的に外貨での支払いに対応しているのも、トークン決済の強み。ECサイトの中には海外の消費者に向けて商品を展開しているところも多いでしょうし、お伝えしたようにアメリカや欧米ではトークン決済が積極的に導入されていますから、海外の顧客から信頼を得る意味でも利点が大きいのではないでしょうか。

◎一定時間で無効に!トークン決済の注意点

トークン決済には様々なメリットが存在しますが、一方で注意しなければならないこともあります。最も代表的なのは「トークンには有効期限が設けられている」こと。

トークンは発行されてから一定時間が経過したり、一度決済に使用したりすると無効となるのです。これはトークン決済を導入する上で、顧客にしっかりと周知しておく必要があるでしょう。

また、企業側のデメリットとしては「決済代行会社を利用するための費用がかかる」というものが挙げられます。初期費用や月額費用、処理にかかる手数料などを事前に確認し、利用に無理がないかを考えてみてください。

Javascriptを利用できる環境が前提となっている部分もありますから、顧客の決済環境もふまえ検討したいですね。