生活における金融関連の側面のうち、決済取引の方法ほど変化したものはないでしょう。特に、カード支払いを扱う企業は、この変革の最前線に立っており、プライマリーアカウント番号 (PAN) を含む決済処理の核となるデータに対応する必要があります。
企業にとって、PAN を安全かつ効率的に使用するのは簡単なことではありません。運用の主要な側面であり、企業の評判や顧客からの信頼に直接的に影響する可能性があります。堅牢で規制に準拠した決済システムを維持するために、企業は PAN に関する規制環境、セキュリティ対策、実務上の留意点を理解する必要があります。このような知識は細かすぎて企業にとって意味がないと思われるかもしれません。しかし、決済システムと不正防止への取り組みがより複雑かつ広範囲に及ぶにつれて、決済の基本を理解することは、カード取引を扱うあらゆる企業にとって、基本的な要件になるでしょう。
以下では、PAN の仕組み、PAN と他の口座番号との重要な違い、PAN を管理する基準、PAN を保護し、その使用方法を改善するために企業が実施できるベストプラクティスについて説明します。
本記事の内容
- プライマリーアカウント番号 (PAN) とは
- プライマリーアカウント番号の仕組み
- プライマリーアカウント番号と口座番号の比較
プライマリーアカウント番号 (PAN) とは
プライマリーアカウント番号 (PAN) は支払い用カードの番号を表す専門用語で、クレジットカード、デビットカード、プリペイドカードにエンボス加工またはエンコードされた一連の数字 (通常は 12 ~ 19 桁) のことです。この数字によってカード発行会社と具体的なアカウントを識別します。PAN は金融機関によってカード保有者のアカウントに割り当てられ、支払い処理に関与する事業者同士の通信で利用される重要なデータとなります。PAN に対する不正使用や不正アクセスは不正な取引や個人情報の盗難につながる可能性があるため、PAN を安全に維持することは重要です。
プライマリーアカウント番号の仕組み
プライマリーアカウント番号の役割を理解することは、決済処理を扱う業界のすべての関係者にとって重要です。この一意の識別子は、決済取引の核となる情報です。この情報によってカード発行会社のデータベースに保存されているアカウント情報とカード保有者が関連付けられます。
以下の手順は、カード決済取引における PAN の役割を示しています。
1. 取引の開始
カード保有者が取引を開始すると、決済端末は磁気ストリップ、EMV チップ、または近距離無線通信 (NFC)(非接触型決済の場合)のいずれかを介して、カードから PAN を読み取ります。
2. トークン化
トークン化により、特にデジタル環境または非対面カード支払い (CNP) の環境で、取引のセキュリティが強化されます。このプロセスでは、取引ごとに PAN が一意のトークンに置き換えられます。これにより、取引データが漏洩した場合でも、実際の口座情報を保護することができます。
3. データ転送
PAN、取引金額、ビジネス情報を含む取引情報は、暗号化されて企業の銀行に送信されます。この銀行はアクワイアラーとも呼ばれます。
4. 情報の転送
その後アクワイアラーは、カードネットワークを通じて、この情報をカード保有者の銀行に送信します。この銀行はカード発行会社と呼ばれます。
5. 検証チェック
カード発行会社は PAN を使用してカード保有者の口座を調べ、口座残高、カードの有効性、不正の可能性をチェックしてから取引を承認します。
6. 取引の承認
カード発行会社が取引を承認すると、その応答はカードネットワーク経由でアクワイアラーに送信され、最終的には企業の端末に、通常は数秒以内に送信されます。
PAN は決済処理において基本的な役割を果たすため、企業は PAN に関連するセキュリティ対策に真剣に取り組む必要があります。PCI DSS (Payment Card Industry Data Security Standard) などのセキュリティ基準は、保管、処理、送信中の PAN の保護に役立ちます。このようなセキュリティ対策には以下が含まれます。
暗号化
このプロセスにより、PAN データは暗号化された形式に変換され、復号化キーがなければ誰も読めない状態になります。PAN は、取引時点 (決済端末など) から適切な金融機関に送信される間、暗号化されます。暗号化されることで、不正利用者が取引データを傍受した場合でも、それを理解したり使用したりすることはできません。切り捨て
切り捨てとは、PAN を表示する際に一部を削除することです。たとえば、領収書や支払い確認画面で、PAN の下 4 桁のみが表示され、残りは「X」や「*」に置き換えられる場合があります。切り捨てにより、不正利用者が閲覧できる場所に番号全体が表示されることがないため、PAN を保護できます。マスキング
マスキングは、切り捨てと同様、PAN の一部を隠す処理です。通常、カード保有者が番号を入力しているとき、または画面に表示されているときに行われます。たとえば、ウェブサイトでカード番号を入力すると、入力と同時に各桁が「*」に置き換わることがよくあります。これにより、誰かが入力者の後ろから見た場合や、悪意のあるスクリーンキャプチャソフトウェアを読み込んだ場合に、PAN 全体を読むことができなくなります。
このような対策を行うことで、支払い情報のセキュリティ対策に真剣に取り組んでいることを示すことができます。そのため、利用者との信頼関係構築に役立ちます。カード決済を扱う企業は、これらの基準に準拠する必要があり、これを怠ると罰則を受ける可能性があります。
プライマリーアカウント番号と口座番号の比較
プライマリーアカウント番号と口座番号は、どちらも金融口座の一意な識別子として機能しますが、特に決済処理の文脈では、使用方法や適用方法が異なります。両者の主な違いは以下のとおりです。
プライマリーアカウント番号
PAN は、クレジットカード、デビットカード、プリペイドカードに記載されている 12 ~ 19 桁の番号です。これはカード発行会社または金融機関が発行する識別子です。PAN はカード保有者の口座を識別するもので、カード発行会社とカードの種類に関する情報も含まれます。
PAN は、POS 端末とオンライン決済の両方で、カードを利用した取引に使用されます。PAN は、決済処理に関与する事業者間の通信で利用され、機密性が高いため、企業はこの重要なデータを高度なセキュリティ対策を講じて取り扱う必要があります。PCI DSS などの基準では、企業が保管、処理、送信する際の PAN の保護方法が規定されています。
口座番号
口座番号は、銀行などの金融機関に保有する口座の一意の識別子です。PAN とは異なり、口座番号にはカード発行会社やカードの種類に関する情報は含まれません。その代わり、個人や企業の口座に直接関連付けられ、主に入出金や送金など、銀行との直接的な取引に使用されます。
通常、口座番号は口座引き落とし、電信送金、その他の直接的な銀行送金に使用されます。口座番号は、銀行の明細書、銀行のオンラインポータル、カスタマーサービスチャネルで確認できます。口座番号も安全に扱うことが重要ですが、カード取引では使用されないため、PAN ほど厳しい PCI DSS 基準の対象ではありません。
PAN と口座番号はどちらも固有の識別子として機能しますが、用途は異なります。カード決済を扱う企業は、PAN に関連する規制要件を認識し、このデータを保護する必要があります。銀行との直接的な取引では口座番号の方が一般的ですが、カード決済を扱う企業は PAN も安全に取り扱う必要があります。
PAN のようなカード決済の詳細な情報は、企業にとってそれほど重要でない小さな問題に思えるかもしれません。しかし、テクノロジーによってカード決済の処理方法が変化する中、カード取引の詳細な構成要素を理解することで、企業は決済テクノロジーの導入や利用方法の改善において優位に立つことができます。