EC構築・ノウハウ

トークン決済とは?ECサイトでのカード情報の非保持化について解説

トークン決済とは、クレジットカード情報を「トークン」と呼ばれる文字列に変換したうえで決済をおこなう方法のことです。

この方法を利用すると、EC事業者様はカード情報に触れることなく決済を進められます。

クレジットカード情報の「非保持化」が義務化されている現在、事業者様は適切な対策をしなければなりませんが、その際にトークン決済の利用が有効です。

本記事では、トークン決済について次の内容を解説します。

  • トークン決済の概要と仕組み
  • トークン決済のメリット・デメリット
  • トークン決済を提供するサービス一覧
  • トークン決済を提供するサービスを導入する際の注意点

なお、当サイトでは最新のクレジットカード不正の傾向と対策についてまとめた資料を無料配布しています。ぜひ、ダウンロードしてご活用ください。

\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ クレジットカード不正利用まとめ

トークン決済とは?主な流れや必要性も解説

本章では、トークン決済について次のことを説明します。

  • トークン決済の決済方法
  • トークン決済の流れ
  • トークン決済の必要性

どのようなことなのか、詳しく見ていきましょう。

トークン決済とは、カード情報を「トークン」に変換した決済方法

トークン決済とは、JavaScriptというプログラミング言語を利用して、クレジットカード情報を特定できない別の文字列(トークン)に変換する決済方法のことを言います。

PSP(決済サービスプロバイダー)と言われる、いわゆる決済代行会社によって提供されるサービスです。

トークン決済には、次のような特徴があります。

【トークン決済の特徴】

  • EC加盟店のカード情報入力画面に、PSPが提供するJava Scriptプログラムを組み込み、トークン化して決済をおこなう
  • トークン決済を利用すると、EC事業者様はお客様のクレジットカード情報を保有しなくてすむ(クレジットカード情報の非保持化)ため、カード情報の漏洩対策ができる
  • トークンを利用してECサイトと決済システムをつなぐ接続方式をトークン方式やトークン型などと呼ぶ

なお、PSP(決済サービスプロバイダー)について詳しく知りたい方は、次の記事をご覧ください。

トークン決済の流れ

※引用:一般社団法人日本クレジットカード協会

トークン決済は下記のような流れでおこなわれます。

【トークン決済の流れ】

  1. お客様が、ECサイトを閲覧し、商品などを購入する
  2. 購入する際にJavaScriptプログラムが組み込まれているECサイトでクレジットカード情報を入力
  3. (お客様のカード情報を直接決済代行会社に送信するため、ECサイトは経由しない)
  4. カード情報がわからないようにPSPが別の文字に変換し(トークン化)、お客様に返送する
  5. お客様は、トークンと決済に必要な情報をECサイトへ送信し、ECサイトがPSPへトークンを送信する
  6. PSPは、トークンを復元したクレジットカード情報でクレジットカード会社へ与信依頼をする
  7. クレジットカード会社がPSPへ与信結果を送信する
  8. PSPが事業者様へ与信結果を返却する
  9. 事業者様がお客様に購入完了画面を表示する

このように、トークンは暗号化されているため、もしトークンが漏洩した場合でもカード情報そのものは守られます。そのため、不正利用のリスクを軽減できるのです。

トークン決済の必要性

トークン決済が必要な理由は、クレジットカードの不正利用や情報漏洩などの対策になるからです。

一般社団法人日本クレジット協会が発表したデータによると、2023年の7月〜9月までの時期は、前年同時期と比較してクレジットカードの不正利用の被害が増加していることがわかります。

※引用:一般社団法人日本クレジット協会

特に、クレジットカード番号の盗用による被害額は増え続けており、すぐに対策をしなければならない状態です。

このような背景を受け、政府は2018年に施行された「改正割賦販売法」の具体的対策の中の1つとして、クレジットカード情報の「非保持化」を義務化しました。

※参考:「経済産業省」

「非保持化」の対策の1つとして挙げられるのが、トークン決済です。また、トークン決済以外にも非保持化を実現できる方法がありますが、これについては次章で説明します。

「非保持化」に対応しない場合、カード会社から加盟店契約を解除されるリスクがあります。このようなリスクを軽減するためにも、トークン決済の必要性を理解し、導入を進めるかの検討が必要です。

なお、クレジットカード情報の「非保持化」について詳しく知りたい方は、次の記事をご覧ください。

トークン決済以外の接続方式との違い

ECサイトと決済システムを結ぶ「接続方式」は、主に4つあります。

  1. トークン型
  2. リンク型
  3. API型
  4. メールリンク型

それぞれの特徴を、下表にまとめました。

決済方式画面遷移お客様情報入力画面カード情報入力画面お客様の視点カード情報の非保持化
トークン型自社ECサイト内ECサイト決済代行会社(入力画面そのものはECサイトで入力しているように見える)入力画面の変化を感じない非保持化に対応
リンク型ECサイト→決済代行会社に遷移するECサイト決済代行会社入力画面の変化を感じる非保持化に対応
API型ECサイト内で完結するECサイトECサイト入力画面の変化を感じないカード情報がECサイトを通過する(情報が残るため保持とほぼ同様の状態になる)

※PCIDSSに準拠させなければならない

メールリンク型メール決済代行会社決済代行会社メールに移動するため変化は大きい非保持化に対応

リンク型はカード入力時に画面が切り替わるため、お客様が違和感を抱いて決済を中止してしまうおそれがあります。

API型は、決済に関わる手続きのすべてをECサイトにて完結できるのでお客様の利便性が高いのが特徴です。

しかし、カード情報がECサイトに記録として残るため、不正アクセスによる情報漏洩のリスクがあります。この対策のために、PCIDSSに準拠させなければなりません。

【PCIDSSとは】

PCIDSSは、クレジットカード情報のセキュリティを確保するための国際的な規格です。

事業者様が顧客の支払いカードデータを保護し、不正アクセスから守るための基準と要件を定めています。

メールリンク型は、メールのURLから決済代行会社の決済画面に遷移して入力するため、システム改修をせずに済むメリットがあります。

トークン決済の3つのメリット

トークン決済のメリットを3つ紹介します。

  1. クレジットカード情報の「非保持化」ができる
  2. 情報漏洩対策ができる
  3. お客様のサイト離脱防止につながる

さっそく見ていきましょう。

【メリット1】クレジットカード情報の「非保持化」ができる

先ほども述べましたが、トークン決済を利用すると、ECサイトはお客様のカード情報に一切触れずに決済が可能になり、カード情報の「非保持化」を実現できます。

「非保持化」とは、ただ単にクレジットカード情報を持たないだけでなく、次の条件がすべて揃うことで成立します。

非保存カード情報を自社で保存しない
非処理カード情報を自社で処理しない
非通過カード情報を自社サイトに通過させない

【メリット2】情報漏洩対策ができる

トークン決済ではECサイトでカード情報を保持しないため、情報漏洩対策ができます。

万が一「トークン」が漏洩してしまっても、トークン自体が暗号化されているため、第三者がその情報を解読するのは非常に困難です。

ただし、サイバー攻撃などによってトークン化スクリプト(※)を改ざんされると、カード情報を盗まれるおそれがあるので、不正アクセス対策は十分におこなわなければなりません。

※トークン化スクリプト:トークン化するためのプログラムのこと

情報漏洩対策については下記の記事で詳しく解説しているので、ぜひご覧ください。

また、次の記事では、不正アクセスを防ぐ対策をまとめていますのでチェックしてみてください。

【メリット3】お客様のサイト離脱防止につながる

トークン決済はお客様のサイト離脱(カゴ落ち)対策にも有効です。先述した「リンク方式」の決済方法では、カード情報入力画面が決済代行会社に切り替わるため、お客様が違和感を抱くことがあります。

しかし、トークン決済では画面が切り替わらずに決済が完了するので、お客様に違和感を与えることはありません。

なお、カゴ落ちについては下記の記事で詳しく説明していますので、より理解を深めたい方はあわせてご覧ください。

トークン決済の3つのデメリット

本章では、トークン決済のデメリットを3つ紹介します。

  1. トークンには有効期限がある
  2. JavaScriptが利用できない場合はトークン決済ができない
  3. 導入・運用などにコストがかかる

【デメリット1】トークンには有効期限がある

トークンには有効期限があり、一度使用されるか、または一定期間(約30分ほど※各サービスにより異なる)を過ぎると無効となります。

トークンの有効期限が切れてしまうと、再度決済をする際にトークンを再発行しなければならず、手間がかかる点がデメリットです。

ただし、お客様が決済画面でスムーズ(一定期間内)に手続きをおこなえば、有効期限が切れることなく決済が完了します。

【デメリット2】JavaScriptが利用できない場合はトークン決済ができない

トークン決済はJavaScript(※)を利用するため、JavaScriptが使えない環境(一部のフィーチャーフォンなど)では決済ができません。

※JavaScript:Webブラウザ上で動作するプログラミング言語

大抵のブラウザはJavaScriptを利用できますが、設定により無効になっている場合もあります。

お客様から決済画面について不具合があるなどの問い合わせがあった際には、使用しているブラウザでJavaScriptが有効になっているかを確認してもらうようにしましょう。

【デメリット3】導入・運用などのコストがかかる

トークン決済を利用するには、初期費用や運用費用などのコストがかかります。

トークン決済を利用するために必要なコストは、次のとおりです。

【トークン決済を利用する際に必要なコスト】

  • 端末費用…トークン決済を利用するために必要な端末(主に実店舗で使用)にかかるコスト
  • 初期費用…システムを導入する際にかかる費用
  • 月額利用料…毎月のシステム利用料
  • 決済手数料…1決済ごとにかかる費用
  • トランザクション費用…決済の際にかかるトランザクション(取引にかかる処理)の費用

トークン決済の導入を検討するときには、コスト面も含めて複数のサービスを比較し、自社に適したものを選ぶようにしましょう。

なお、詳しい選び方については「トークン決済対応の代行サービスを選定するポイント」で説明しています。

【サービス一覧】トークン決済を提供する企業

本章では、トークン決済を提供する企業の一部を紹介します。

サブスクペイ

サブスクペイでは、トークンの接続方式を2種類から選べます。

  • ポップアップ型:サブスクペイが用意する決済フォームへと遷移する
  • カスタマイズ型:決済フォームのデザインを事業者様が作成してサイトに表示する

また、サブスクペイは次のような機能が利用可能です。

  1. 課金周期の設定
    毎週・隔週・毎月・3ヶ月ごと・半年ごと・年単位から課金周期を設定できる
  2. 初回決済と毎月の費用設定
    クレジットカードを登録したときに課金する金額と、毎月課金する金額を別に設定できる
  3. 課金開始日/課金停止日の設定
    課金開始日を設定すると、クレジットカード登録日と課金開始日をずらすことが可能
    課金停止日を設定すると、その期間を超えたときに課金を自動停止できる
  4. 退会フォーム
    お客様自身で退会できるように、サイト内に退会フォームを用意できる

このように、サブスクペイはサブスクリプションサービスでトークン決済を利用したいときに適したサービスです。

費用や工期などについては、サブスクペイにお問い合わせください。

SMBCファイナンスサービス

SMBCファイナンスサービスでは、2種類のトークンを提供しています。

  • シングルユース式:1回のみ利用可能なトークンを発行し、与信取得などをおこなう方式
  • マルチユース式:変換されたトークンを利用し、何度でも与信取得などを可能にした方式

また、オプションで次のようなサービスを追加可能です。

  1. 複数回数支払い
    一括払いの他に、ボーナス一括払い・2回払い・リボ払い・分割払いが可能
  2. セキュリティコード認証
    クレジット決済時にカード番号+セキュリティコードの入力をお客様に求めることにより不正利用を防止する仕組み
  3. クレジットカード情報お預かり機能
    お客様が自分のクレジットカード情報を預けることにより、次回以降のカード情報入力を省いて注文を可能にする機能
  4. 拠点管理
    支店・営業所などの拠点ごとに、請求情報や収納結果を管理可能にする機能

機能の詳細や、導入費用および月額料金などについてはSMBCファイナンスサービスにお問い合わせください。

Sony Payment Service

Sony Payment Serviceでは、事業主様の要望に合わせて2つの接続方式を用意しています。

  • ポップアップ型:カード情報入力フォームをECサイト上にポップアップで表示
  • カスタマイズ型:カード情報入力フォームをECサイト内に表示

ポップアップ型は、数行のJavaScriptをサイト内に導入するだけで簡単に利用できます。

カスタマイズ型は、決済画面を事業主様が自由にデザインできるため、カゴ落ちリスクの軽減が期待できます。

Sony Payment Serviceでトークン決済を導入・利用する際にかかる主な費用は次のとおりです。

  • 初期費用:導入するときにかかる費用
  • 月額固定費:システムを利用するための費用
  • 手数料:1件の処理ごとに発生する費用

導入費用や月額使用料の詳細については、Sony Payment Serviceにお問い合わせください。

クロネコWebコレクト

クロネコWebコレクトのトークン接続方式は、次の2つから選べます。

  • モーダルウィンドウ型:カード情報入力画面をECサイトにポップアップで表示
  • 組込型:カード情報入力画面をECサイトに組み込む方法

また、クロネコWebコレクト・トークン方式連携済みカートを所有しているか否かによって、導入までに必要な開発工数が変わってきます。

  • クロネコWebコレクト・トークン方式連携済みカートを利用中の場合
    • ECサイトの制作:支払い画面設定
  • 非連携カート・自社カートを利用中の場合
    • システム開発:フルスクラッチ構築
    • ECサイトの制作:支払い画面デザイン

どちらの方式を選んだ場合でも、開発に20日〜30日程度かかります。また、機能や費用などの詳細については、クロネコWebコレクトにお問い合わせください。

紹介したサービスの他にも、トークン決済を提供する企業は多数あります。それぞれに特徴があるので、複数を比較検討してみることをおすすめします。

導入にかかる日数も考慮して、検討するようにしましょう。

トークン決済対応の代行サービスを選定するポイント

トークン決済を導入するには、決済代行サービスを利用することになります。

導入を検討する際は、次のポイントを押さえておくとよいでしょう。

【トークン決済対応の決済代行サービスを選定するポイント】

  1. トークン決済が自社のシステムに適しているか
  2. サービスの内容は自社に適しているか
  3. 費用対効果は十分に得られるか
  4. サポート体制は万全か

トークン決済は優れた決済方法ですが、自社のシステムによっては「リンク方式」や「API方式」の方が適している場合があります。

また、トークン決済はあくまでクレジットカード情報をトークン方式で暗号化し、保護するシステムです。その他の個人情報を保護するには、他のセキュリティ対策が欠かせません。

そのため、複数のサービスを利用することを前提として、機能やコスト面を比較検討していく必要があります。

クレジットカードの不正利用を防ぐためには専門的な対策も必要

トークン決済は、クレジットカードの不正利用を防ぐ高度なセキュリティです。

しかし、近年ではサイバー攻撃が巧妙化しているため、より強力なセキュリティを併用し、対策していかなければなりません。

たとえば、システム内に複数の防御層を設置し「多層防御」(※)を施して、個人情報をより強く保護するなどの対策が挙げられます。

※多層防御:複数のセキュリティ対策を組み合わせてサイバー攻撃を防ぐ方法

そこで、多層防御を実現する方法としてトークン決済との併用をおすすめしたいのが、不正注文検知サービスの導入です。

かっこ株式会社は不正注文検知サービス「O-PLUX」を提供しています。「O-PLUX」の特徴は、次のとおりです。

【O-PLUXの特徴】

  • 幅広いデータベースを活用し、巧妙化する不正も検知可能
    電話番号利用状況やメールアドレスの一時利用など、さまざまなデータベースを柔軟に組み会わせて分析しているため、巧妙化する不正も検知可能さらに、「O-PLUX」加盟店で発生した不正注文を共有したり、行動解析から不正注文者の買い方を抽出し審査に活用したりしている
  • 最新データ取り込みにより高精度な検知ができる
    「O-PLUX」は、専任担当者がモニタリングを実施し、地域や商材により異なる不正傾向を洗い出した上で不正検知に活用している加盟店ごとの運営ポリシーや最新の不正傾向に会わせた個別サポートやチューニングも実施している
  • さまざまなECシステムや決済業者と提携しているため簡単に導入可能
    セキュリティ強化の目的で、現在使用しているECシステムや決済業者のシステムに「O-PLUX」を導入したい場合でも、手間をかけずに導入できる

トークン決済と併用してより強固なセキュリティを実現したい方は、下記のバナーをクリックのうえサービス資料をダウンロードしてご確認ください。

O-PLUX 公式サイト

1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

まとめ:トークン決済でカード不正使用の防止に努めよう

トークン決済は、クレジットカード情報を「トークン方式」で暗号化して決済をおこなう方法です。万が一、トークンが漏洩しても解読されるリスクは低いため、情報漏洩対策にもなります。

トークン決済には次のようなメリット・デメリットがあるので、理解を深めてから導入を検討するようにしましょう。

【トークン決済のメリット】

  • クレジットカード情報の「非保持化」ができる
  • 情報漏洩対策ができる
  • お客様のサイト離脱防止につながる

【トークン決済のデメリット】

  • トークンには有効期限がある
  • JavaScriptが利用できない場合はトークン決済ができない
  • 導入・運用などのコストがかかる

トークン決済の利用によってセキュリティは高まりますが、暗号化されるのはクレジットカード情報のみです。

また、サイバー攻撃などによってトークンスクリプトを改ざんされると、カード情報を盗まれかねません。

そのような事態が起こることも想定し、他のセキュリティ対策と組み合わせてカード情報を守りましょう。

当サイトでは、インターネットセキュリティの入門として、さまざまな対策を漫画でわかりやすく解説しています。ぜひ、下記のバナーをクリックのうえ資料をチェックしてみてください。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

ピックアップ記事

  1. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について
  2. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすすめの不正検知システム…
  3. 転売屋対策に効果のある13個の方法を紹介!転売が引き起こすリスクとは?
  4. 【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について
  5. 不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説

関連記事

  1. RFIDタグ とは

    EC構築・ノウハウ

    RFIDタグとは?メリットや導入例、QRコードとの違いを解説

    ECショップを運営していると、「もっと効率的にショップ運営をしたい」「…

  2. EC構築・ノウハウ

    自社後払いとは?利用者・事業者のメリットや導入時の注意点

    自社後払いとは、その名のとおり自社で独自に構築・提供する後払い決済のこ…

  3. EC構築・ノウハウ

    受注処理とは?流れやシステム導入のポイントなどを紹介!

    「受注処理とは具体的にどのような作業を行っているのだろう」「受注処…

  4. 与信審査とは?

    EC構築・ノウハウ

    与信審査とは?後払いで行われる仕組みやEC事業者におすすめな構築方法などを解説

    「与信審査とは何?」「後払いで与信審査が行われる仕組みが知りたい」…

  5. ECサイト 詐欺

    EC構築・ノウハウ

    【詐欺】偽ECサイトに注意!公式サイトとの見分け方と自社サイトのなりすまし対策

    「ECサイトで購入した商品が届かない」「どうすれば詐欺サイトに騙さ…

  6. EC構築・ノウハウ

    BNPL(後払い決済)の導入事例5選!日本の市場動向は?

    「BNPL(後払い決済)を導入している企業はあるの?」「日本でも後…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?原因と不正注文を防ぐ仕組み
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. EC構築・ノウハウ

    越境ECとは?海外展開をおすすめする5つの理由や出店の方法を解説
  2. 3Dセキュア

    3Dセキュア導入で発生するカゴ落ちとは?離脱率が増加する原因や対策を解説
  3. 不正検知・ノウハウ

    スピアフィッシング攻撃とは?手口や4つの対策・フィッシングとの違いを解説
  4. メルカリ 不正行為

    ニュース・業界動向

    メルカリでの不正行為とは?禁止している出品物や行為、買ってはいけないものを紹介
  5. 転売チケット

    不正検知・ノウハウ

    チケット転売は犯罪になる?転売によるトラブルや不正転売がバレて逮捕された事例を紹…
PAGE TOP