トークナイゼーション

トークナイゼーション (トークン化) は、クレジットカード番号や口座番号などの機密データを、元のデータとは無関係なランダムな文字列 (トークン) に置き換えるセキュリティ技術です。トークンから元のデータを逆算することは不可能で、トークンと元データの対応関係は安全なトークンサーバーでのみ管理されます。

QR コード決済においてトークナイゼーションは中核的な役割を果たしています。ユーザーのスマートフォンに表示される決済用 QR コードには、実際のカード番号や口座番号ではなく、一時的なトークンが格納されています。店舗の POS がこの QR コードを読み取ると、トークンが決済ネットワークに送信され、トークンサーバーで実際のカード番号に変換されて決済が処理されます。

この仕組みにより、QR コードが第三者に盗み見られたり、スクリーンショットが流出したりしても、トークンからカード番号を復元することはできません。トークンは一定時間で失効するため、時間が経過した QR コードは再利用できません。

暗号化との違いは、トークナイゼーションでは元データとトークンの間に数学的な関係がない点です。暗号化は鍵があれば復号できますが、トークンは対応テーブルを持つサーバーでしか元データに戻せません。この特性により、トークンを扱うシステムは PCI DSS (カード業界のセキュリティ基準) の適用範囲から除外でき、コンプライアンスコストを大幅に削減できます。