#18 カード番号のトークン化③〜トークンをカード番号に戻すデトークンの話〜
はじめに
Apple PayやGoogle Payはカード番号をトークン化する技術が使われていることを説明しました。トークン番号で決済された場合、カード発行会社(ISS)のホストシステムではそのまま処理できないため、カード番号に戻す(=デトークン)必要があります。今回はデトークンについて触れていきます。
なぜデトークンが必要か
「#15 カード番号のトークン化①」で説明しましたが、ISSはEMVCoに認定されたTSPを利用契約して使っています。つまりISSのホストシステムにTSPがあるわけではありません。なので実際にはこんな以下のイメージでISSシステムの外に存在しています。
ISSシステムはカード番号でないと処理ができないので、加盟店でトークン番号で利用した場合は、カード番号に戻す処理(デトークン)が必要になります。
トークンの種類
前回『#17 「Apple PayからFelica系決済サービスが消える日」をよんで』の中で日本では国際ブランドトークン(Type A/Bトークン)と国内電子マネートークン(Type Fトークン)が発行されることを説明しました。
基本的にはこのトークンの種類によってTSPが使い分けられています。これはTSPは各国際ブランドが自らサービス提供していて、国際ブランドトークン(Type A/Bトークン)は自ブランドが提供するTSPを使用するようルール化しているためです。
例:Visaのトークンは、Visaが提供するTSPを使用するようルール化している
なお国際ブランドが提供するTSPでは、国内電子マネー(iD、QUICPay)のトークンは発行できないのでIBMやJCN、大日本印刷が提供するTSP(=Third Party TSP)を使用する必要があり、ISSはトークンの種類によって複数のTSPを利用することになります。
※TSPについては「#15 カード番号のトークン化①」で説明した通りEMVCoの認定が必要で、各国際ブランドも当然認定を受けています。認定ベンダーは公開されています。
国際ブランドトークン(Type A/B)のデトークン
原則、国際ブランドトークンは国際ブランドTSPを使用する必要があります。そのためType A/Bトークンはオーソリ、クリアリングともに国際ブランドネットワークを通すことでデトークンされます。下図青矢印がトークン番号、赤矢印がカード番号のデータの流れとなります。
※なお、Apple Pay開始当初はThird Party TSPでトークン発行することを容認していた国際ブランドもあったりするので上記の流れでないこともあります
国内電子マネー(Type F)のデトークン
先述の通り国内電子マネー(Type F)のトークンはThird Party TSPで発行されています。詳細には触れませんが、Type Fトークンについては以下のいずれかの手法でデトークンしています。
ISSがトークン番号で受信してから利用しているTSPへデトークン依頼
CAFIS等の国内ネットワークが提供しているデトークンサービスを利用
(国内ネットワークが代行してTSPへデトークン依頼してISSへ仕向ける)ISS自身がTSPから事前にトークン番号とカード番号の紐付けデータをもらっておいて自身でデトークン
トークン検証
なお、トークンの取引においては単にトークン番号をカード番号に変換するだけでなく、対面決済であればIC(ARQC)認証、非対面決済であればCAVVと同等のクリプトグラム検証を実施しています。
※参考)対面取引のIC(ARQC)認証
※参考)非対面取引のCAVV認証
まとめ
今回はこれまで以下の通り説明してきたトークン化について、逆にカード番号に戻すデトークンという手続きについて説明しました。最近では国際ブランドがISS向けだったトークナイゼーションの技術を加盟店向けにも利用するよう推進しており、カード番号の流出を防ぐための試みが広がっています。
①Apple Payで採用されたトークナイゼーションの技術の概要
②Apple PayとGoogle Payの違いについて説明
③ちょっと番外編でType A/BトークンとType Fトークンについて説明