2023年4月4日8:30
カード情報を特定の加盟店でしか使えない記号に変換
ビザ・ワールドワイドの藤森です。ここからは私から、Visa Token Serviceについてお話をさせていただきます。トークンは世界的に普及しているセキュリティの技術です。使われ方はさまざまですが、代表的なのはApple PayやGoogle Payといったモバイルウォレット上での活用です。これが、トークンが大きく広がるひとつのきっかけになりました。
Visa Token Serviceの特徴は大きく3つあります。1つはカード番号の非保持化。Visaはカード番号ごとに特定の加盟店専用のVisaトークンを発行します。カード会員が加盟店のサイトで、手入力で板のカードに印字されている16桁の番号を打ち込むことで、カード番号がVisaトークンに置き換わります。トークンに置き換わることで、その加盟店でしか使えない情報になるので、万一その情報が加盟店から漏えいしたとしても、ほかの加盟店では使うことができません。
2つ目は、より安全な認証技術であるということ。Visa Token Serviceでは従来のセキュリティコード(CVV2)を使った静的な認証ではなく、取引の都度生成される動的な情報を使って認証を行います。プラスチックのカードに印字されている情報を本人が打ち込んでいるかどうかを確認する手段として、従来はカードの裏面にある3桁のセキュリティコードなどの静的な情報を使っていましたが、Visa Token Serviceではこれを動的認証に置き換えることができます。
特徴の3つ目は、相互運用性の高い洗い替えです。盗難や紛失、更新などの理由でカード情報が更新された際にも、イシュアが情報更新登録を行うことによって、カード情報は常に最新の状態に保たれます。違う番号を再発行しなければならないようなケースでも、カード会員や加盟店の手を煩わせることなく、情報が更新されます。また、Visa Token Serviceの実装・運用は、EMVCoで定められているEMV Payment Tokenizationの規格に準拠していますので、相互運用性があり、エコシステム全体で広く使うことができます。
Visaトークンが実際にどのように使われるのかを、3つのユースケースでご紹介いたします。カード情報の登録、決済、カード情報の更新の場合です。
カード情報の登録では、カード会員から加盟店に、PAN(Primary Account Number)を介して情報が行きます。決済では、加盟店からVisaNet、さらにイシュアに、PANを介して取引情報が届きます。カード情報の更新では、カード会員から加盟店に、新しいPANを介して情報が届きます。この流れは皆様にとって、一消費者としても、業務上も、馴染み深いものだと思います。
これにVisaトークンを使うとフローがどう変わるかということですが、カード情報の登録では、カード会員がカード情報を手入力してPANを介して加盟店に届けると、加盟店がVisaNetからVisaトークンを付与するというプロセスが走ります。そのときにVisaNetは、イシュアに対して、その加盟店にVisaトークンを発行していいかどうかの確認をとります。これによって加盟店はVisaトークンを保持した状態になります。そのカード会員が買い物やサービス利用をするときには、加盟店からVisaNetに対してVisaトークンが送られます。このときに加盟店は動的認証情報を必ず付与しなければなりませんから、VisaNetで強い認証を実行することができます。最後がカード情報の更新のケースです。カードの有効期限が切れたり、盗難・紛失のケースでカード情報が更新された場合、これまではカード会員が新しく届いたカードの情報を自身で入力しなければなりませんでした。Visaトークンを利用すると、逆にイシュアから先んじて新しいカード情報がVisaNetに連携されて、加盟店が持っている決済情報は常に有効な状態に保たれるというかたちになります。
