• HOME
  • News
  • 雑誌
  • 書籍・調査リポート
  • セミナー情報
  • 利用ガイド
  • 問い合わせ
  • MY PAGE
無料会員登録

サイト内検索

Now accepting PayPal

NEWS

一覧一覧

2016.03.09

Pick up Topics~リンク編~(2015年11・12月号)

POS加盟店にカード番号非保持の環境を
クラウドで「トークナイゼーション」を実行

 

国際セキュリティ基準「PCI DSS」対応が進む中、カード決済機能を搭載したPOS端末でカードを処理する「POS加盟店」の存在が、課題としてクローズアップされてきた。POS加盟店では、カード情報がPOS端末や業務システムに散在するケースが多く、PCI DSS準拠が難しいためだ。特に大規模加盟店の場合、システム改修にはコストを要し、カード情報を持たない「非保持」も難しい。リンクはこの課題に対する選択肢として、「トークナイゼーション」を提示し、流通・小売を中心にプロモーションを開始した。

 

選択肢は準拠か非保持 トークン化で障壁を下げる

リンク  セキュリティプラットフォーム事業部  事業部長 滝村享嗣氏
リンク
セキュリティプラットフォーム事業部
事業部長
滝村享嗣氏

 JCA(日本クレジット協会)では国内のカード決済の安全対策として、対面/POS加盟店に対し、「センシティブ認証データの非保持」と「カード会員データの保護」の二つの要請を出している。セキュリティコードやPINを含む前者は、国際ブランドからの強い要請もあって、主要加盟店はほぼ対応を終えたと考えられる。問題はカード番号や有効期限などの情報を守る後者だ。
 対策として「PCI DSS準拠」か「カード情報の非保持」が示されているが、いずれも難易度は高い。リンク セキュリティプラットフォーム事業部 事業部長の滝村享嗣氏は、「PCI DSS準拠の場合、POSからデータが上がってくる個所はすべて対象に入ります。また、大手はカード番号をポイントサービスに使っている例もあり、この場合はポイントを管理しているDBにも手を入れなければなりません。PCI DSSで定める決済端末の定期的な検査なども難しく、準拠の選択肢はないに等しいと考えていいでしょう」と話す。
 一方の非保持は、EC決済では決済代行事業者の推進もあって急速に進んでいるが、対面決済では加盟店に代わってデータを保存してくれるようなサービスがない。対策はカード番号の一部を削除する「トランケーション」か、正規の番号には戻せない「トークン」と呼ぶ番号に置き換える「トークナイゼーション」が考えられる。
 「トランケーションは、コストは低めですが、外部システムとの連携やリアルタイム性に難があります。システムの機能を保ち、安全性も高い現実的な解はトークナイゼーションです」(滝村氏)

 

トークン化 ≒ 非保持 段階的なアプローチを

 トークナイゼーションの導入環境では、POSで処理したカード情報をトークンサーバに送信し、カード番号をトークンに変換する。以後の売上集計や会員管理などの業務には、安全なトークンを使う。正規のカード番号を扱う部分は、番号変換のシステムに限られるため、PCI DSS準拠対象が狭まり、非保持化も進めやすい。
 導入方法は自社構築とクラウド型があり、リンクの提案はトークン化に関する処理をクラウド上で行う「Cloud Token for Payment Card」だ。両者の相違について滝村氏は、「トークナイゼーションは、システム導入にコストがかかり、技術的な難易度も高い点が課題。自社構築では大きな負荷がかかりますが、クラウド型はそれを取り除きます」と話す。また、自社構築では番号を対応させるトークンDBを最低1台置く必要があり、ここに正規のカード番号が残ってしまう。PCI DSSの対象範囲が狭まる利点は大きいが、JCAの要請である「非保持」は、厳密には達成できないことになる。
 クラウド型は、コストと運用負担、そして非保持化へのハードルを下げる。「Cloud Token for Payment Card」はすでに決済代行事業者、カード会社のサブシステムなどに導入されているが、POS加盟店に対する安全対策としても、このソリューションが有効に機能する可能性は高い。

 

「Cloud Token for Payment Card」導入時のデータフローのイメージ。正規のカード番号とトークンの変換などの処理は、全てPCI DSS完全準拠のセンター側で行う。
「Cloud Token for Payment Card」導入時のデータフローのイメージ。正規のカード番号とトークン
の変換などの処理は、全てPCI DSS完全準拠のセンター側で行う。

 

(CardWave 2015年11・12月号掲載)

 

line

>>関連記事

Pick up Topics~マネーフォワード編~(2015年11・12月号)

Pick up Topics~ジェムアルト編~(2015年11・12月号)

Pick up Topics~かっこ~(2015年9・10月号)

Pick up Topics~NTTデータ(2015年7・8月号)

Pick up Topics~リクルートライフスタイル/リクルートペイメント(2015年9・10月号)

【特集】多様化するプリペイド決済の今~三菱UFJニコス編~(2015年7・8月号)

【特集】”新世代決済サービス”の実力~LINE編~(2015年3・4月号)

CCW~CardWave2015年3・4月号掲載(2/2)

【特集】『Apple Pay』の日本上陸は?~オリエントコーポレーション編~(2015年1・2月号)

【特集】台頭するブランドプリペイド~バニラVisa オンライン~(2014年1・2月号)

【特集】EMV再検証~ビザ・ワールドワイド・ジャパン~(2015年5・6月号)

【特集】「モバイルウォレット」で出来ること~NEC編~(2014年5・6月号)

【特集】台頭するブランドプリペイド~V プリカ~(2014年1・2月号)

【特集】台頭するブランドプリペイド~e- さいふ~(2014年1・2月号)

【特集】ブランドデビット普及のカギ~楽天銀行編~(2014年3・4月号)

Pick up Topics~セキュアブレイン(2014年7・8月号)

Pick up Topics~ネットムーブ(2014年7・8月号)

【特集】「モバイルウォレット」で出来ること~マスターカード・ワールドワイド編~(2014年5・6月号)

【特集】「モバイルウォレット」で出来ること~大日本印刷編~(2014年5・6月号)

【特集】ブランドデビット普及のカギ~ジャパンネット銀行編~(2014年3・4月号)


line

古い記事

新しい記事

刊行情報

『かくして
 電子マネー革命は
 ソニーから楽天に
 引き継がれた』

電子マネービジネスの立役者でもある著者が、「楽天Edy」の誕生秘話と苦闘の歴史を綴った一冊。 購入ページへ

刊行情報

『電子決済総覧 
 2017-2018』

〈印刷版+デジタル版〉
※通常価格

カード決済市場レポートの決定版!

購入ページへ

刊行情報

『クレジットカード事業の歴史から検証するコア業務とリスクマネジメント』

業務の実践に必要な知識と情報を集約したカードビジネスの実務書 購入ページへ

定期購読

cardwave定期購読
詳細はこちらから