CAVV Issuer Authentication Tokenとは、カード発行者が発行する認証情報を含むトークンであり、電子決済における本人確認のために使用される。
概要

オンライン決済において、カード所有者の本人性を確保する仕組みとして3D Secure(3DS)が導入された。3DSでは、発行銀行がカード保持者の認証結果を暗号化して「CAVV(Cardholder Authentication Verification Value)」という値として生成し、決済ネットワークへ送信する。このCAVVはトランザクションごとに一意であり、カード番号や個人情報を直接含まないため、安全性が高い。発行者が生成したCAVVは「Issuer Authentication Token」と呼ばれ、支払処理の途中で利用される。
役割と機能

- 本人確認証明:取引時にカード所有者が認証を受けたことを示す。
- 不正防止:CAVVは暗号化署名付きであるため、改ざんや偽造が困難。
- トランザクション承認フロー:決済ゲートウェイはCAVVを受け取り、取引の最終承認に利用する。
- 規制遵守:強固な顧客本人確認(SCA)要件を満たすために必須となる。
特徴

- 短時間有効性:CAVVは数分から数時間の有効期間を持ち、長期保存が不要。
- 非カード情報化:暗号化された認証結果のみを含むため、カード番号や個人データは漏洩リスクが低い。
- 再利用可能性:同一トランザクション内で複数回の承認に使用できる場合がある。
- 標準化された構造:ISO 20022など国際規格に基づき、フィールドごとに意味付けされている。
現在の位置づけ

CAVVは3D Secure 2.xでさらに拡張され、モバイルウォレットや組込型金融サービスへも適用が進む。PCI SSOおよびPSD2等の規制により、発行者認証情報の安全な取り扱いが求められる中、Issuer Authentication Tokenは不可欠な要素となっている。また、APIベースのオープンバンキング環境では、トークン化と組み合わせて利用されるケースが増加しており、将来的にはより動的かつ分散型認証メカニズムへ進化する可能性がある。
続きを読むには確認が必要です

