RSAセキュリティは2010年11月17日、データ保護ソフトウエア「RSA Data Protection Manager」を発表した。機密データを別の文字列に置き換えて利用する「トークナイゼーション」や暗号化、暗号鍵のライフサイクル管理といった機能を提供する。クレジットカード情報取り扱い事業者を主な対象として、12月1日に販売を開始する。
RSA Data Protection Managerの主要機能であるトークナイゼーションは、クレジットカード番号をランダムに作成した同じ桁数の数字「トークン化データ」に置き換える。トークン化データは暗号化データと異なり、万が一漏えいした場合でも元データに復号することはできない。そのため、暗号化したカード番号を扱うアプリケーションはPCI DSS(Payment Card Industry Data Security Standard)審査対象となるのに対して、より強固なセキュリティのトークン化データのみを扱うアプリケーションはPCI DSS審査の対象外となる(図1、図2)。
カード番号とトークン化データは1対1でマッピングして管理する。このため、カード番号を入力するアプリケーションや決済アプリケーション上では元データを使用し、その他のポイント加算システム、返金処理システム、CRM(顧客情報管理)などではトークン化データを使用するといった使い分けができる。カード番号の下4桁を残してトークン化することもできるので、既存のアプリケーションでも活用しやすい。
同社 マーケティング統括本部 マーケティング プログラム マネジャーの関真氏は、「カード番号を扱うアプリケーションを限定することで、情報漏えいのリスクを低減し、セキュリティ運用コストを削減できる」と話した。
