2015年7月24日7:00
ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット
カード番号を乱数に置き換えて、安全なカード情報の管理が可能に
トークナイゼーションは自社の技術者の確保が必要に
5~7年で見ると運用コストを抑制可能
トークナイゼーションの導入と決済代行事業者への委託を比較すると、トークナイゼーションでの運用に関しては、複数の物理サーバ、アプリケーションサーバ、データベースを運用しなければならず、技術者の確保が求められます。その点、決済代行事業者に依頼すれば、接続のインターフェースを管理するのみで、サーバの運用は発生しません。
トークナイゼーションは、5~7年でみるとコストは安いかもしれませんが、保守の金額を算出するのが難しいです。決済代行事業者に預けた場合、保持データn件毎に費用が発生しますし、仮に大規模になった場合は運用費増大につながります。 また、トークナイゼーションにより強固なセキュリティの仕組みを提供できているとはいっても、自社で持つ以上は「流出する」という事象のリスクを負うことになります。
その点、決済代行事業者に委託すれば、自社で持つよりはリスク軽減につながるかもしれません。 PCI DSSへの準拠については、今後、基準に大きな制度変更が発生した時に、自身で持っていれば開発などが必要な場合もありますが、決済代行事業者に預ければ軽減される可能性があります。
人員に関しては、自社で仕組みを開発すると、開発工数が20人月と大規模になり、検証コストも大きく、運用もそれなりの費用が発生します。また、“どこまでやったら安全だ”という判断が難しい状況です。一方、決済代行事業者に委託した場合、開発とテストに工数が必要となります。
GDOでは、eコマース以外のサービスでもクレジット決済は行っており、横に広いサービスを提供しているため、開発と工数に時間がかかります。その点、トークナイゼーションは、工数はかかりませんが、アプリケーションのライセンス費用が必要となります。また、安全性と構築の容易さを天秤にかけたときにメリットがあります。
今後の運用は2016年~17年に決定予定
トークナイゼーションは運用負荷や開発・運用の柔軟性が課題
今後の運用については、2016年から2017年の間に意思決定する予定です。カード決済サービスを提供する企業にとって、カード情報を決済代行事業者に預けられない場合は、ロジックを作って運用するのか、トークナイゼーションのような製品を採用してセキュリティを担保するかが必要となります。
トークナイゼーションでは、漏洩リスクや初期・ランニングのコストは削減できますが、その一方で運用負荷や開発・運用の柔軟性が課題となります。逆に決済代行事業者にカード情報を委託した場合は、開発や運用の柔軟性といった点で難しくなるでしょう。
実際にトークナイゼーションを導入した感想として、一定の障害は発生する可能性があり、ワン・トゥ・ワンでサポートしてもらえる企業があるか、というのが選定のポイントとなると考えています。また、情報漏洩のリスクに関しては、決済代行事業者もセキュリティを強化している印象が年を追うごとに強くなっているため、どちらでもそれなりに担保できると思われます。
※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のゴルフダイジェスト・オンライン 経営戦略本部 本部長CTO 渡邉 信之氏の講演をベースに加筆を加え、紹介しています。
