Eビジネスを推進するORANGEシリーズ

EC-ORANGE
お役立ち資料ダウンロード ニュースレター登録

決済とは?トークン決済とは?PCI-DSS準拠?カード情報の非保持化?

「トークン決済って最近よく聞くけど、いまひとつよくわかってない…」「クレジット決済とどう違うの?」

という方に向けて記事を書きました。

Eコマース事業を行う上で、ユーザーの利便性向上、売上機会損失防止のため、複数の決済方法を用意することが望ましいとされます。
その中でもクレジットカード決済は欠かせない決済手段です。

しかし、ECサイトにおいて、クレジットカード情報の漏えいはなんとしても防ぎたいトラブルの一つです。

とはいえ、セキュリティは複雑でわかりにくいですよね。

トークン決済を導入できれば、ECサイト上でのクレジットカード決済が安全になり、ユーザーの安心感がアップします。

この記事では、ECサイトのセキュリティ対策に役立つトークン決済を

  • クレジット決済とは
  • 2018年3月までにECサイトが取り組むべき「実行計画2017」とは
  • トークン決済とは、暗号で決済する技術
  • トークン決済のメリット・デメリット
  • これからトークン決済を利用する際の注意点3つ
の順にご説明します。

「セキュリティ対策は難しい」というイメージがあるかもしれませんが、大まかに理解するだけならハードルは高くありません。

まずはこの記事でトークン決済の基本をおさえましょう!


クレジット決済とは

クレジットカード決済とは、銀行や各金融機関と提携したクレジットカード会社や決済代行会社を通して、現金の授受を行わずに支払える方法です。
ECサイトの場合、消費者、事業者、クレジットカード会社の三者間契約または、消費者、事業者、クレジットカード会社、決済代行会社の四者間契約で行われることが多いでしょう。

参考:一般社団法人 日本クレジット協会「クレジットの契約関係」
https://www.j-credit.or.jp/customer/basis/classification.html
三者間契約の場合、事業者は様々なブランドのクレジットカード会社と契約をしなければならず、業務的な負担が大きくなります。
そこで、決済代行会社を加えた四者間契約の方が、業務の手間を軽減できるのです。

2018年3月までにECサイトが取り組むべき「実行計画2017」とは

経済産業省やクレジットカード会社などからなる「クレジット取引セキュリティ対策協議会」は、クレジットカードを安全に使うための環境を整えています。2017年3月に同協議会が発表した「実行計画2017」によると、EC事業者は
  1. カード情報の非保持化
  2. PCI DSS準拠
のいずれかを、2018年3月までにしなければなりません。


実行計画そのものは法律ではありませんが、「改正割販法」においてこの実行計画を守るように書かれています。ゆえに、2018年3月までに実行計画が守られていない場合は、法律違反になります。

引用:PCI DSS(Payment Card Industry Data Security Standard)とは
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準

http://www.jcdsc.org/pci_dss.php



ポイントは「(1)顧客のクレジットカード情報を持ってはならない(2)改変可能な場所にカード決済のリンクを作ってはならない」の2つです。



(1)のカード情報非保持については、リンク型・API型でも対応できます。



確かにリンク型・API型はカード情報は保持していません。とはいえ、カード情報はEC事業者の
  • サーバー
  • ルーター
  • ファイアウォール
  • ロードバランサー
などを通っており、通過ポイントのどこかにバックドアが作られる可能性があります。つまり、(2)の「改変可能な場所にカード決済のリンクを作ってはならない」に抵触するかもしれないのです。

メディアで報道される情報漏えい事件のいくつかは、リンク型・API型でも発生しています。ゆえに、これらの方法は完全なセキュリティ対策とは言い切れません。

また、独自の決済モジュールを使ってECサイトのサーバーにカード情報を保持するとしても、PCI DSSに準拠する必要があります。これはコスト・手間が多く、非常にハードルが高い選択肢です。





そこで、今後注目なのが、情報漏えいに対して有効とされる「トークン決済」です。


トークン決済とは、暗号鍵で決済する技術

「どうしてトークン決済が有効なの?」

と思う方へ、詳しい説明をしていきます。

トークン決済とは、購入者が入力するクレジットカード番号を、別の文字列(トークン)に置き換えて通信を行い、お支払いを完了させる、情報漏えいリスクを軽減できるセキュリティサービスです。

引用:https://www.gmo-pg.com/service/mulpay/security/token/





トークン決済を導入したところで、これまでのECサイトの決済画面と見た目は変わりません。違うのは、裏側で動く仕組みです。

ECサイトにトークン決済を導入すると、クレジットカード情報は乱数英数字の暗号(トークン)に変換されます。それを鍵として決済するため、クレジットカード情報は第三者が見ても意味のない情報になるのが特長です。

トークン決済では、ユーザーがクレジットカード情報を入力するのはいつも通りです。しかしカード情報はトークンに置き換えられ、ECサイトのサーバーを通過せずに、PCI DSSに準拠している決済代行サービス会社で決済されます。

例えるなら、今までのセキュリティ対策は「データが盗まれないように穴を埋める」方法でしたが、トークン決済は「第三者が見ても使えない形式のデータにする」イメージです。これまでの対策とはそもそもの考え方が違うことがお分かりいただけたかと思います。


トークン決済について、ざっくりとした概要はつかめましたか?次はトークン決済の具体的なメリット・デメリットをみていきましょう!



トークン決済を導入することのメリット

トークン決済を導入することのメリットは、以下の5つです。
  1. ユーザーのカード情報はECサイト・サーバーを通過しないため、「カード情報非保持」が実現する
  2. カード情報漏えいのリスクを低減する
  3. リンク決済と違って外部サイトへの遷移がないため、サイト離脱のリスクが低減する
  4. 今までのシステムを大きく変更する必要がない
  5. 外貨での決済にも対応している


トークン決済を導入して高いセキュリティが実現すれば、自社ECサイトの安全性をアピールできるのもメリットですよ。

お客さまに選んでいただけるサイトとして、トークン決済を検討してはいかがでしょうか。


次はトークン決済のデメリットもみていきます。

トークン決済を導入するデメリット

トークン決済をとり入れることによるデメリットは、追加で費用がかかることです。

例えば、弊社のOrange ECでトークン決済を導入すると

  1. トークンシステム導入にかかる「初期費用」
  2. システムを利用するための「月額固定費用」
  3. クレジット処理1件ごとにかかる「手数料」
の3つがかかります。詳細な導入費用につきまして、詳しくはお問い合わせください。

また、ベリトランス社からもトークン決済を行う「MDKトークン」が提供されています。こちらもあわせてご確認くださいね。

トークン決済を導入する際の注意点3つ

これからトークン決済を導入するさいに、注意すべき3つのポイントをまとめました。

  1. トークンは一度使うと無効になる
  2. 一定期間が経過したトークンも無効になる
  3. トークン決済はjavascriptが利用できない環境では使えない※一部のフィーチャーフォンなどでは利用できない可能性
「一度使ったら無効になるんなら、毎月の課金をカードで払えなくなるの?」

と思った方もいるかもしれませんが、カード登録時にトークン化することで継続課金などでもトークン決済を利用できます。

注意するべきポイントはありますが、クレジットカードをこれまで同じように使いながら安全性をアップさせるトークン決済は、今後さらに広まっていくでしょう。

2020年オリンピックに向けて、決済サービスを国際基準へ

ECサイトのセキュリティに欠かせない、トークン決済についてまとめました。

おさらいすると、トークン決済は「クレジット取引セキュリティ対策協議会」が2017年3月に発表した「実行計画2017」によって注目されはじめました。EC事業者は
  1. カード情報の非保持化
  2. PCI DSS準拠
のいずれかを2018年3月までにする必要があり、その両方を満たすのがトークン(暗号化された文字列)を使った決済方式なのです。

トークン決済のメリットは、

  1. ユーザーのカード情報はECサイト・サーバーを通過しないため、「カード情報非保持」が実現する
  2. カード情報漏えいのリスクを低減する
  3. リンク決済と違って外部サイトへの遷移がないため、サイト離脱のリスクが低減する
  4. 今までのシステムを大きく変更する必要がない
  5. 外貨での決済にも対応している
の5つでした。そして、デメリットは導入に費用がかかることでしたね。

また、トークン決済を導入するさいの注意点として

  1. トークンは一度使うと無効になる
  2. 一定期間が経過したトークンも無効になる
  3. トークン決済はjavascriptが利用できない環境では使えない※一部のフィーチャーフォンなどでは利用できない可能性
の3つを紹介しました。

東京オリンピックが開催される2020年には訪日外国人観光客4000万人の目標が掲げられています。そのためインバウンド対策としても、クレジットカードをはじめとした各種決済サービスの整備は有効です。

ICカード対応は必須といわれ、もし対策が不十分だとすると国家的なセキュリティホールを持つとみなされる恐れもあります。

実店舗での対応だけでなく、ECサイトでもしっかりとPCI DSSに準拠しなくてはいけません。



2016年のリオデジャネイロオリンピックに合わせ、VisaはNFC(近距離無線通信)を搭載したリング型のウェアラブルデバイスを発表しました。今後は決済情報をトークン化したウェアラブルデバイスも導入していくということです。



指紋認証を利用した非接触型のクレジットカードや、静脈認証、光彩認証などの生体認証決済も各社で開発が進んでおり、モバイル決済サービスや仮想通貨なども含めたFintechの進化・動向は今後も注目です。



PR:Orange ECならトークン決済に対応しています

加盟店が独自にPCI DSSに準拠しようとすると、審査や導入コスト、ランニングコストなど、非常にハードルが高いものになります。
既にPCI DSSに準拠している決済代行サービス会社のサービスを利用する方がコストも労力も軽減します。

Orange ECでは、トークン決済が可能になる「セキュリティ強化パッケージ」をご提案しています。
ぜひお問合せください。



>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから


《参考》最近の不正アクセスの傾向について
2016年は…
1. ランサムウェアの法人ユーザーの累計被害報告件数は9月で前年同時期の5倍以上に!※1
2. 警察が把握しているだけでも上半期で1,900件以上の標的型攻撃メールが!※2
3. インターネットバンキング不正送金ウイルスの法人ユーザーの累計検出台数は
9月で前年同時期の3倍以上に!※3
※1 2016年1月から9月における国内での法人のランサムウェア被害報告件数は、前年同時期の380件に対して、2,090件。(「2016 年第3 四半期セキュリティラウンドアップ」トレンドマイクロ)
※2 2016年1月から6月で警察が連携事業者等から報告を受けた標的型攻撃は1,951件(「平成28年上半期におけるサイバー空間をめぐる脅威の情勢等について」警察庁)
※3 2016年1月から9月における国内での法人のインターネットバンキングを狙うウイルス(オンライン銀行詐欺ツール)の検出台数は、前年同時期の5,000件に対して、18,400件。(「2016 年第3 四半期セキュリティラウンドアップ」トレンドマイクロ)