Visaがトークンを利用する「クリック決済」を日本で導入

EC加盟店にトークンを発行し電文を生成

登録したカード情報をECサイトに連携して、カード情報の入力の手間を省略するという点では、Visaがかつて展開していた「Visa Checkout」（以下、Visaチェックアウト）と同じといえる。

実際、クリック決済はVisaチェックアウトの技術基盤を応用したものだ。だが、決定的に異なる点がある。それは、Visaのクリック決済はトークンを用いている点だ。

カード決済におけるトークンは、カード番号（PAN＝Primary Account Number）と紐付けて生成される番号で、特定の取引やシステム内で一時的に使用される識別子だ（詳しくは本誌24年4月号）。

クリック決済においては、クリック決済用にトークンが発行される。

トークンはPANに復号することはできないので、トークンがEC加盟店から流出しても、PANを割り出すことはできない。

もし、流出してしまった場合は、そのトークンを無効化することができるので、当該EC加盟店で利用することはできなくなる。別のEC加盟店で利用しようとしても、それはその加盟店のトークンではないことが判別できるので、カード決済は承認されない。

日本のカード業界は非対面加盟店について、PCIDSSへの準拠もしくはカード情報の非保持化によって、カード情報保護を強化してきたが、EC加盟店がクリック決済を導入してトークンを用いたカード決済が行われるようになれば、カード決済の安全性を格段に高めることができるだろう。

クリック決済では、カード会員がクリック決済のボタンを押すと、トークン取得をリクエストするメッセージ電文がクリック決済のサーバーに送られ、クリック決済のサーバーからVisaのトークンサービス（VTS）に連携され、VTSが発行したトークンをクリック決済のサーバーがEC加盟店に送る。

トークンを受け取ったEC加盟店はトークンでオーソリ電文や決済電文を生成し、アクワイアラーやPSP経由でVisaに決済電文を送る。Visaでは決済電文中のトークンをPANに変換してイシュアーに送り、イシュアーがオーソリゼーションの承認や決済処理を行う仕組みだ。