コラム Column

決済の仕組みで重要な「トークン」徹底解説!

こんにちは、米木です。ネット等で振込をする際、本人認証にトークンというデバイスを使った事があるという人は少なくないと思います。何気に目にしているトークンですが、この言葉の意味・決済での仕組みをご存知でしょうか。今回はこの「トークン」に着目し、私ならではの解説をしていきたいと思います。

トークンという言葉自体はさまざまなところで、それぞれ異なった意味で使われています。英語の「Token」を辞書で調べると「しるし、証拠、引換券他」といった意味が書かれています。どうやら「価値のあるものに紐づく」、ときに「代替として使えるもの」という意味があるそうです。ここでは特に決済の世界でカード番号の代替として利用されている「トークン」について話をしていきます。

Apple Payとトークン

 トークンということばが決済関連記事などで登場しはじめたのは、Apple Payが発表された2014年頃だと記憶しています。Appleは当初から世界で最も安全なモバイルペイメントであることをアピールしていました。その根拠のひとつとなるのが、iPhoneの中にカード番号を保有せず、その代わりにトークンを保有するというものです。カード番号をトークンに置き換えることを「トークナイゼーション」といいます。iPhoneはデバイス内にカード番号を保有していないため、カード番号がデバイスから漏洩するリスクをゼロにします。それまでカード番号を含むカード情報はスマートフォンのSIMカードに内蔵されているセキュアエレメント(※1)というチップに格納していたため、カード番号は漏洩しないと言われていました。iPhoneは内部にセキュアエレメントを保有しているにも関わらず、更にカード番号をトークンに置き換えたため「世界一安全」と宣言したのでしょう。
※1:セキュアエレメント:安全にデータを格納できるメモリーや暗号ロジック回路を持った半導体製品のこと。

トークンってどんなもの?

 ところで、トークンとはいったいどのようなもの(仕組み)なのでしょうか。

国際ブランドカード決済で利用されているトークンはカード番号の代替となるものであると説明いたしました。カード番号は日本では通常16桁(Amexは15桁)の数字です。そのカード番号を置き換えるトークンも実は16桁の数字なのです。カード番号とトークンは両方とも16桁の数字ですから、一般の人が見てもその数字の羅列がカード番号なのか、トークンなのかを見分けることはできないでしょう。

図を見て頂くととても分かりやすいと思います。カード番号16桁は決められたフォーマットに基づいて振られています。詳しくは述べませんが頭の数桁は発行カード会社を示す情報BIN(Bank Identification Number)が配置されています。その後に数字の連番があり、最後にチェックデジットという符号の入力誤り等を検出する為の数字が付けられます。
トークンはどうかというと、こちらもカード番号と同じ体系になっています。つまりBIN+連番+チェックデジットになっているのです。

ではカード番号とトークンは何が違うのでしょうか。
実は発行カード会社を識別するBINコードはカード番号とトークンで異なるBINが発行されるため、そこで見分けることができるのです。もちろんカード番号とトークンは別の番号でないと意味がありませんし、同じ番号になることは決してありません。

トークンが安全な理由

ここでひとつの疑問が出てきます。カード番号とトークンが同じ16桁の数字であるならば、なぜカード番号が漏洩すると危険で、トークンなら漏洩しても安全なのかということです。
その理由はカード番号とトークンの使える範囲が異なるからです。ご存知のようにカード番号はどこでも利用できます。しかしトークンは発行されたデバイスでしか利用できない仕組みとなっています。図のように一つのカードに紐づくデバイスでも、デバイス毎に異なる番号が発行されているのです。

カード番号が盗まれるとオンライン決済でも利用可能になりますし、偽造カードを作ることもできます。しかし、トークンは発行されたデバイスでしか利用できませんので例えば私のスマートフォンに発行されたトークンを盗んだ人がオンライン決済で利用しようとしても使えませんし、他のスマートフォンにコピーして利用する事も不可能なのです。

 このようにトークンは利用が限定的であるため、たとえ漏洩しても盗難にあっても不正に利用することはほぼ不可能なのです。トークンは漏洩することを前提に設計されていると言っても過言ではありません。

カード番号のトークン化を急がせた事件

 不正利用に対してカード業界はカード情報漏洩の多くが加盟店の決済システムから漏洩していることを早くから認知し、さまざまな対策を行ってきました。そのひとつがPCI DSSという業界標準の安全基準です。この基準に準拠したシステムや運用、データセンターは一定の安全基準に準拠していることを標準化団体が認定しています。

 しかし業界全体をトークン化にシフトさせる大きな事件が起こります。米国最大チェーンストアTargetのPOSから4,000万人分のカード情報が盗まれてしまったのです。盗まれた情報はカード番号、有効期限、セキュリティコードです(更には買い物客等7,000万人の氏名、住所、電話番号、メールアドレスも流出)。この3点セットがあればオンラインでのカードの不正利用が容易に可能となります。こうしたカード情報の漏洩はそれまでも起きていましたが、この時は漏洩したデータの数が桁違いに多かったこともあり、大きく取り上げられ問題になりました。データ漏洩したカードの発行費用はカード会社が負担したと思われますが、被害を受けたカードの再発行に膨大な費用が掛かったと言われています。

 この当時カード業界はカード番号のトークン化をすでに決定していましたが、この事件をきっかけにトークン化が急がれることになったと考えています。なぜならトークン化してしまえば、トークンが漏洩してもユーザーの被害を防げるだけでなく、カードの再発行も不要になるからです。前述のようにトークンはデバイス毎に振られるため、そのカードに紐づくトークンだけを再発行すれば済むのです。こうして業界全体がトークンを利用する方向に動き出しました。

 今後IoTの時代になり、さまざまなデバイスで決済を行おうとしたときにトークンを利用することで安全な決済が可能になります。「トークン」はこれからの時代にとって、とても重要な技術となっていくことでしょう。

 TISはトークナイゼーションに早くから取組み多くの実績があります。様々なソリューションをご用意しておりますので、ぜひお問合せください。

(過去の記事)
1.日本で最もキャッシュレスが進んでいる場所にあったキャッシュレスホール
2.GoodユーザーにはBetterエクスペリエンスを!(Money 20/20 USA 2019報告)
3.日本の非接触決済(現状と未来)
4.5Gで変わる決済の未来とは
5.日本にとっての無人店舗とは
6. スマートフォンでシームレスな決済を実現(In-App決済)~事例を使って解説~