ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット(上)

2015年7月23日7:00

ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット
カード番号を乱数に置き換えて、安全なカード情報の管理が可能に

日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内のeコマースサイトで初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を2010年7月に導入しました。4年間の運用の成果や課題、決済代行事業者の非保持サービスなどとの比較について紹介します。

国内で初めてトークナイゼーションを導入
カード情報が漏洩せず、システムとして非常に安全な仕組みを提供

GDOは、ゴルフ用品の販売、ゴルフ場の予約、ゴルフ関連情報やモバイルコンテンツを提供するメディア事業、ゴルフレッスンを行うフィッティング事業など、ゴルフにかかわるビジネスを多岐にわたって提供しています。

日本国内には、約800万人のゴルファーがいますが、450万人と半数以上のお客様が弊社をご利用いただいています。日本は世界第二位のゴルフマーケットとなりますが、GDOでは260万の会員を有しています。アクティブユーザーは約45万人、コアユーザーは40~60代後半の男性のお客様が多くなっています。

現在のeコマースの売り上げは100億円弱ありますが、支払いの約8割がカード決済となっています。一時は、85%がカード決済でしたが、最近はコンビニ決済の比率も増えています。

トークナイゼーションは、2010年に検討を開始し、2011年7月にリリースしました。当時、アプリケーションやインフラを切り替えたので、トークナイゼーションも同時にリリースしています。

GDOでは過去に「SQLインジェクション」による不正アクセスを受け、サイトが改ざんされる被害に遭いました。カード会員情報は漏洩しませんでしたが、当時の強化策として、自社で暗号化して保有するか、外部企業に預けるかの二択で考えていました。ただ、暗号化は、復号化されるリスクがあります。また、当時は、カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、カード情報を決済代行事業者に預けた場合、仮に情報が漏れた際は弊社側で対応しなければなりませんでした。そのため、トークナイゼーションを国内で初めて採用しました。

過去を振り返る・・・「持つ」か「預ける」か?
過去を振り返る・・・「持つ」か「預ける」か?

たとえば、自社でカード会員情報を保持している場合、暗号化されたデータを複合化してウェブサーバに返してお客様に戻すという流れになります。トークナイゼーションでは、サブシステム間に通信をするときにはEAI(Enterprise Application Integration)というツールがあり、トークンの取得用サーバを介して、トークンを取得した後にカード情報を呼び出す仕組みとなります。また、データを登録する際も同様で、自前で保持しているときには暗号化して自分たちのデータベース内に保存されますが、トークナイゼーションでは、トークンの登録サーバでカード情報に紐づくトークンを生成し、トークンだけを戻します。

これまでの運用の成果としては、カード情報が漏洩せず、システムとしても非常に安全な仕組みを提供できています。コストについても、ロジックの変更やバージョンアップをすること無く、削減できました。また、自社で保持するデータはトークンのみであり、監査上も一切指摘はありません。

障害時にはベンダー頼みになる課題も
今後はカード情報を決済代行事業者に委託する可能性も

逆にデメリットとしては、運用フローが非常に複雑になりました。たとえば、1つの障害で、実際に運用ができなくなり、その対応はベンダー頼みになってしまいます。弊社には複数のサーバがありますが、異なるSSLの証明書が必要となり、証明書の更新作業のフローが複雑化するなど、アプリケーションの技術者を内部で抱えていないと運用が困難になります。また、運用コストは削減できていますが、24時間365日の保守対応については、専用に整えなければならず、高コストとなっています。さらに、対応時間を短くした場合は、正常動作監視と一時対応に備えるメンバーの待機コストが発生してしまいます。

今後は、①自社で仕組みを開発②トークナイゼーションの製品を導入③決済代行事業者のサービスを利用する――3つが考えられます。ただ、自社開発については、インフラ設計、アプリケーション設計、開発、検証、運用等、考慮しなければならない点が非常に多く、メリットが見出せません。

トークナイゼーションを導入する場合は、ベンダー側の保守体制がしっかりしている点、安定した動作実績があること、カード情報以外の重要な情報も含めて行える体制にあるか、といった点を満たせるかが重要となります。また、GDOでは、利用する決済代行事業者を切り替えましたが、その際にコストやサービスを比較して、最終的にトークナイゼーションの代わりにカード情報を委託する可能性も含めて決断しています。

⇒⇒後編へ続く

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のゴルフダイジェスト・オンライン 経営戦略本部 本部長CTO 渡邉 信之氏の講演をベースに加筆を加え、紹介しています。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP