CAVV Generation

CAVV Generationとは、カード決済における3Dセキュア認証プロセスで発行者が生成するカードホルダー認証検証値（Cardholder Authentication Verification Value）の作成手順を指す。

概要

3Dセキュアはオンライン取引の不正防止を目的として、クレジット・デビットカードネットワークにより導入された二段階認証仕組みである。CAVVは、この認証結果を暗号化して発行者（Issuer）から加盟店側へ伝えるためのトークンであり、取引承認時に使用される。CAVV Generationは、カードネットワークが定めた仕様に従い、発行者システム内で生成されるプロセス全体を含む。発行者は、カードホルダーの本人確認情報や認証結果を入力し、暗号化アルゴリズム（通常はRSAまたはECC）と署名鍵を用いてCAVVを計算する。この値は、決済ネットワークに送信される際にトランザクションデータの一部として添付され、加盟店や支払処理業者が認証情報を検証できるようになる。

役割と機能

CAVV Generationは、以下のような役割を担う。
1. 本人確認結果の暗号化：カードホルダーが3Dセキュアページで入力したパスワードやOTPなどの認証情報をハッシュ化し、発行者側の署名鍵で暗号化することで、通信途中の盗聴リスクを低減。
2. 取引承認フローの統合：CAVVは決済ネットワークに送信される際、カード番号やトランザクション金額とともに添付され、加盟店側が「本人確認完了」か否かを判断する基準となる。
3. 監査・コンプライアンス：発行者はCAVV生成時のログを保持し、規制機関（PCI DSSやPSD2）から要求される監査証跡として利用できる。
4. トークン化との併用：モバイル決済や電子マネーにおいては、CAVVとともに発行者が生成するトークンを組み合わせることで、取引の安全性をさらに向上させる。

特徴

• 暗号署名ベース：CAVVはRSAまたは楕円曲線暗号（ECC）で署名され、改ざん検知が可能。
• 発行者固有の鍵管理：各発行者は専用の秘密鍵を保持し、PCI DSSに準拠したキー管理体制を構築する必要がある。
• 取引情報の統合：CAVVにはカード番号（PAN）、認証日時、トランザクション金額などが含まれるため、一度生成された値は複数回の承認に再利用できる。
• 互換性と標準化：Visa、Mastercard、JCBなど主要カードブランドはそれぞれCAVVフォーマットを定めており、発行者はこれらの仕様を遵守することで国際的な相互運用性を確保。
• スケーラビリティ：高頻度取引環境（eコマースやモバイルウォレット）に対応できるよう、生成処理は高速化と並列化が求められる。

現在の位置づけ

近年のデジタル決済エコシステムでは、API銀行・オープンバンキング・PSD2などの規制が拡大しつつある。CAVV Generationは、これらの枠組み内で発行者側の認証プロセスを安全に外部サービスへ委譲する際の鍵となる要素である。特に3D Secure 2（3DS2）への移行に伴い、CAVVは「認証結果」を示す主要パラメータとして位置付けられ、APIベースの決済ゲートウェイやBaaSプロバイダーが統合する際にも必須となる。

また、トークナイゼーションと組み合わせたモバイル決済環境では、CAVV Generationは「本人確認」だけでなく「支払承認」の二重検証として機能し、PCI DSSの要件を満たすために不可欠なプロセスとなっている。発行者は継続的にキー管理システム（KMS）の更新や暗号アルゴリズムのレガシー化対策を実施することで、規制変化への適応と取引安全性の維持を図っている。