自動取引装置、生体認証ユニット、及び生体認証方法
【課題】生体情報の登録時に指のセット方法を忘れたり、適切でない状態で登録された等の恒久的な登録時不良要因や、指が傷付いていたり、指に異物や汚れが付着していた等の一時的な本人要因により認証失敗したときは、再認証を行ったとしても認証失敗と判断される可能性が高い。
【解決手段】一致度が低い推定要因と指のセット方法の改善案を実施しても生体情報の一致度が十分でない場合、改善しない要因が登録時不良要因のときは、生体情報の登録時に利用者が提示した本人確認資料を照合した上で、生体情報の再登録及び取引処理を行う。一方、改善しない要因が一時的な本人要因である場合は、その時点では解決できないので、本人確認資料を読み取って照合確認の上、制限取引に移行する。
【解決手段】一致度が低い推定要因と指のセット方法の改善案を実施しても生体情報の一致度が十分でない場合、改善しない要因が登録時不良要因のときは、生体情報の登録時に利用者が提示した本人確認資料を照合した上で、生体情報の再登録及び取引処理を行う。一方、改善しない要因が一時的な本人要因である場合は、その時点では解決できないので、本人確認資料を読み取って照合確認の上、制限取引に移行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動取引装置、生体認証を行う生体認証ユニット、及び生体認証方法に関する。
【背景技術】
【0002】
金融機関では、自動取引装置(以下、ATM)での取引における本人確認の方法として、指紋、虹彩、指静脈などの生体情報を用いる生体認証が利用されている。生体認証はセキュリティ性の高い方法であるが、利用者本人の認証に失敗し、取引ができない場合がある。
【0003】
上記の対応策として、特許文献1に記載された生体認証システムの場合、生体情報の一致度が十分でないときは、当該一致度の高さに応じて、限度額や回数を一部制限した取引(以下、制限取引という)を行う。また、特許文献2に記載された生体認証システムの場合、生体情報の一致度が十分でないときは、その要因と指のセット方法(置き方、位置など)の改善案をガイダンス表示し、利用者が指を置き直してから再認証を行うことにより、生体認証の成功率を向上させている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−048118号公報
【特許文献2】特開2009−009434号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、従来の生体認証システムの場合、生体情報の一致度のリアルタイムな変化や、適切な改善策が把握できなかった。また、生体情報の登録時に指のセット方法を忘れたり、適切でない状態で登録された等の要因(恒久的な登録時不良要因)や、指が傷付いていたり、指に異物や汚れが付着していた等の要因(一時的な本人要因)により認証失敗した場合、同じ指で再度生体認証を行ったとしても生体情報の一致度が上昇せずに認証失敗を繰り返す可能性がある。
【0006】
そこで、本発明は、生体情報の一致度から利用者本人か疑わしいと判断した場合(認証に成功してはいないが、利用者本人の可能性がある場合)、生体情報の再登録または制限取引を行うことにより、利用者の利便性を向上させる自動取引装置、生体認証ユニット、及び生体認証方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記の課題を解決するために、本発明は、認証時に取得した生体情報(以下、認証データ)と登録済の生体情報のテンプレート(以下、登録データ)との一致度が、所定の判定値に達しない場合、一致度が低い推定要因と指のセット方法の改善案をリアルタイムで表示する。改善策によっても生体情報の一致度が十分でない場合、改善しない要因が登録時不良要因のときは、生体情報の登録時に利用者が提示した本人確認資料(免許証、住民基本台帳カード、パスポートなどICチップに個人情報が記録された媒体や、ICチップ搭載の携帯端末)を照合した上で、生体情報の再登録及び取引処理を行う。一方、改善しない要因が一時的な本人要因である場合は、その時点では解決できないので、本人確認資料を読み取って照合確認の上、制限取引に移行する。
【発明の効果】
【0008】
本発明によれば、指のセット方法に対する改善を促しても生体認証に失敗し、その要因が恒久的な登録時不良要因である場合に、本人確認資料を照合した上で生体情報の再登録を行う。そのため、生体認証の成功率を大幅に高め、認証失敗が少なくなる。また、生体認証に失敗したとしても、利用者本人の可能性がある場合は取引が可能であるため、利用者の利便性が向上する。
【図面の簡単な説明】
【0009】
【図1】ATMの構成を示すブロック図である。
【図2】生体認証処理システムの概略図である。
【図3】生体認証ユニットの構成を示すブロック図である。
【図4】ICカードが備えるICチップの構成を示すブロック図である。
【図5】生体認証及び取引処理のフローチャートである。
【図6】取引選択の案内画面の一例である。
【図7】認証する指のセット案内画面の一例である。
【図8】指静脈リーダが読み取った指静脈画像の一例である。
【図9】生体情報の一致度のブロック別の例である。
【図10】認証支援モード移行の案内画面の一例である。
【図11】引出し限度額を記録したテーブルの一例である。
【図12】認証支援モードのフローチャートである。
【図13】生体情報読み取り時の注意事項画面の一例である。
【図14】認証支援モード表示画面の一例である(指が回転している場合)。
【図15】認証支援モード表示画面の一例である(指を押し付けている場合)。
【図16】生体情報画像の特徴を記録したテーブルの一例である。
【発明を実施するための形態】
【0010】
まず、図1〜4を用いて本実施形態の基本構成を説明する。なお、本実施形態では、生体情報として指静脈情報を用いる例を説明する。
図1は、生体認証ユニットを備えたATM101の構成を示すブロック図である。ATM101は、利用者の指静脈画像を読み取る指静脈リーダ102と、利用者への取引案内を表示するディスプレイ(液晶ディスプレイ等の表示部)103と、取引を行うために操作入力を受け付けるタッチパネル(入力部)104と、挿入されたカードを処理するカード取扱い機構105と、紙幣入出金等の紙幣を処理する紙幣入出金機構106と、明細票の印字処理を行う明細票印字機構107と、通帳の印字処理を行う通帳印字機構108と、本人確認資料(免許証、住民基本台帳カード、パスポートなどICチップに個人情報が記録された媒体や、ICチップ搭載の携帯端末)を読み取る非接触ICリーダ109と、ATM101全体の動作を制御する主制御部110とから構成される。
【0011】
カード取扱い機構105は、カードの磁気ストライプ(Magnetic Stripe(MS))に対してデータの読取り及びデータの書込みを行う磁気ストライプリードライト部(以下、磁気ストライプRW部)111と、カードのICチップに対してデータの読取り及びデータの書込みを行うICチップリードライト部(以下、ICチップRW部)112とを備える。
【0012】
また、主制御部110は、各処理を制御するCPU113と、各処理を実行するためのプログラムや取引情報等の各種データを取引成立まで一時的に記憶するRAM(Random Access Memory)などのメモリ114と、ホストやサーバとデータを送受信するための通信部115と、取引成立後に、利用者との取引情報等を逐次記録するHDD(Hard Disk Drive)などの記録部116と、及び電源117とを備える。
【0013】
本実施例では、上記の構成のうち、指静脈リーダ102と、カード取扱い機構105と、非接触ICリーダ109と、主制御部110とを合わせて、生体認証ユニット119とする。生体認証ユニット119は、上述のように、主制御部110で制御しても良いが、主制御部110とは別途に設けた制御部(図示せず)により、各部(指静脈リーダ102、カード取扱い機構105、及び非接触ICリーダ109)を制御しても良い。
【0014】
図2は、ATM101を含む生体認証システムの概略図である。ATM101は、その正面上部に、ICカード201a及び本人確認資料201bを持参する利用者202の顔画像を撮影する人物カメラ118を備え、利用者202の操作面の右端端部に設けられた載置台に、指静脈リーダ102及び非接触ICリーダ109を備えている。ATM101は、金融機関のネットワーク200を介して事務センタに設置されたホストコンピュータ203と接続されている。なお、ホストコンピュータ203は、利用者202の口座情報データ他を記憶しているデータベース204を備えている。
【0015】
図3は、生体認証ユニット119の主要部の構成を示すブロック図である。カード取扱い機構105にICカード201aが挿入されると、ICカード201aに設けられたICチップ301aは、その表面に設けられた接点(図示せず)を経由してICチップRW部112と通信する。生体認証時は、利用者202が指静脈リーダ102に指を置くと、スキャナ401が指静脈画像を読み取り、特徴抽出機能部402が指静脈画像から指静脈の特徴を抽出し、この指静脈の特徴に関するデータを認証用の生体情報(以下、認証データ)として出力する。認証機能部403は認証データを主制御部110とICチップRW部112を経由して、ICチップ301aに出力する。ICチップ301aは、登録された生体情報のテンプレート(以下、登録データ)と認証データとを比較・照合して、認証処理を実施する。なお、指静脈リーダ102の登録機能部404は、読み取った指静脈画像の特徴を抽出した登録データを、ICチップ301aに書込み登録する場合に使用される。
【0016】
このように、ICチップ301aが認証処理を実施するように構成することで、認証対象者である利用者202毎に予め登録されている登録データをICチッブ301aの外部に出力しなくて良いので、登録データの安全性を高めることができる。
【0017】
また、本人確認資料201bに搭載されたICチップ301bは、カード取扱い機構105とは別に設けられた非接触ICリーダ109にて読取られる。非接触ICリーダ109の場合、カード取り扱い機構105(ICチップRW部112がICチップ301aに接触することでICチップ301aの読取りが可能)と異なり、本人確認資料201b内のICチップ301bを近付けることにより、ICチップ301bの読取りが可能となる。
【0018】
図4は、ICカード201aが備えるICチップ301aの構成を示すブロック図である。携帯記憶媒体であるICチップ301aは、CPUのCPU501、通信部502、生体AP(アプリケーションプログラム)503、生体情報エリア504、銀行AP506、口座情報データ507、及びその他AP508を備えている。CPU501は、ICチップ301a全体を制御する。通信部502は、図3に示したカード取り扱い機構105のICチップRW部112と通信する。生体AP503は、生体情報エリア504内の登録データ505の登録や、認証処理時に利用者202から読み取られた認証データを登録データ505と照合する生体認証処理の一部を実行するための生体認証プログラムである。銀行AP506は、口座情報データ507の読み出しを実行するためのプログラムである。また、ICチップ301aには、金融機関別にクレジットなどの処理を行うその他AP508が組込まれることがある。
生体情報エリア504は、複数の領域に区分けされており、利用者202の生体情報(登録生体情報)である登録データ505、登録時に利用者202が提示した本人確認資料201bの区分や個人識別番号等の情報509、ATM101での取引時に生体認証処理を行った回数の累計である生体認証処理回数510、生体認証を失敗した回数の累計である生体認証失敗回数511、前回取引での生体認証の結果である前回の認証結果512等が記憶されている。
【0019】
生体情報エリア504の生体認証処理回数510が「0」とは、利用者202がICカード201aの発行後初めて生体認証を行うことを示す。前回の認証結果512は、前回の認証時に認証処理をリトライすることなく生体認証が成功したこと、認証処理をリトライしたことにより生体認証が成功したこと、又は生体認証が失敗したまま取引が終了したことを記憶している。これにより、利用者202が生体認証に慣れているか否かを判断することが可能である。
【0020】
次に、ATM101における生体認証処理の具体的な処理について説明する。
図5は、指静脈情報が登録されたICカード201aを使用した生体認証と、取引処理の一例として引出取引を行う場合を示したフローチャートである。主制御部110のCPU113(以下、主制御部110)は、利用者202が接近したことをATM101に設けた顧客検知センサ(図示せず)で検知した場合、ディスプレイ103にいらっしゃいませ画面を表示後、図6に示すような取引選択の案内画面700を表示する。利用者202により、案内画面から「引出し」を選択した後(S601)、カード取扱い機構105にICカード201aを挿入されると(S602)、磁気ストライプRW部111は磁気ストライプに記録されたICチップ301a搭載の有無を読み取り、ICチップ301aが搭載されている場合、ICチップRW部112はICチップ301aに記録された口座情報データ507を読み取る。また、ICカード201aがカード取扱い機構105に挿入されたことを検知後、主制御部110は人物カメラ118に利用者202の顔画像を撮影させ、記録部116に利用者202の顔画像を記憶する(S603)。
【0021】
主制御部110は、図7に示すような認証対象の指を指静脈リーダ102にセットさせる案内画面800をディスプレイ103に表示する。案内画面800を確認した利用者202により、指が指静脈リーダ102に置かれたことを検知すると(S604)、指静脈リーダ102は、指静脈画像の読み取りを実施する(S605)。読み取られた指静脈画像から指静脈の特徴点が抽出されることにより、認証データが作成される(S606)。
【0022】
図8は、指静脈リーダ102の特徴機能抽出部402により読み取られた利用者202の指静脈情報の一例を示す図である。利用者の指801から読み取った指静脈画像900から、特徴抽出機能部402により指静脈の特徴点を抽出して、指801全体の認証データとして出力する。また、指静脈画像900は、上下方向に3分割(指先・中央・根元)、左右方向に3分割(左・中・右)、計9個のブロック901〜909に分割され、ブロック毎についても特徴点の抽出及び認証データの出力を行う。特徴点とは、指静脈画像900の端点・交差点・屈曲点などに種類分けし、指静脈画像900の根元で中央付近の分岐点を基準点とした位置座標・距離・方向等の情報である。なお、分割するブロック数、及び抽出する特徴点の数は一定の値でなくても良く、利用者毎・ブロック毎に変えることも可能である。
【0023】
図5に戻り、指静脈画像900の特徴点を抽出した(S606)後、主制御部110は、作成した認証データを、ICチップRW部112を経由してICチップ301aに送信する。ICチップ301aのCPU501は生体AP503を実行する。CPU501は登録データ505を読み出して(S607)、認証データが登録データ505とどの位一致するかを順次比較・照合していく(S608)。比較・照合結果から、図9に示すように、全域での一致度AT、及び各ブロック別の一致度A0〜A8を算出する(S609)。一致度とは、ICチップ301aから読み出した登録データと、S606で作成された認証データとが一致する割合をいう。本実施例では、認証データ全域での一致度ATと、図9に示す各ブロック別の一致度A0〜A8とを算出する。
【0024】
CPU501は、全域での一致度ATが所定の値(例:80%)以上かを確認し(S610)、所定の値(80%)以上なら、生体認証はOKである(生体認証が成功した)と判定し、その旨を伝える信号を、通信部502を介して主制御部110に出力する。その後、主制御部100は以下の通り取引処理を行う(S611a〜g)。すなわち、主制御部110は、暗証番号の入力操作の受付(S611a)、引出し金額の入力操作の受付(S611b)及び確認操作の受付(S611c)の完了後、事務センタのホストコンピュータ203と交信して、暗証番号・引出し金額の照会を行う(S611d)。暗証番号・引出し金額に問題が無い場合(S611e:YES)、出金処理を行い(S611f)、ICカードを返却して(S611g)、処理を終了する。また、主制御部110は、暗証番号・引出し金額に問題があれば(S611e:NO)、S611a以降の処理を行う。上記の取引処理では、生体認証がOKであったため、図11に示すように引出し限度額を高額とした取引である「通常取引」としている。
【0025】
一方、CPU501は、S610で全域での一致度ATが所定の値(80%)未満なら、認証処理を開始してから5秒経過したか確認する(S612)。CPU501は、5秒が経過していなければ(S612:NO)ら、主制御部110とともにS605以降の処理を行う。すなわち、主制御部110は、指静脈リーダ102に置かれた指801の指静脈画像900を再度複数回読取らせて認証データを生成してICチップ301aに出力し、CPU501は、認証データと登録データを照合して、一致度を算出する。また、CPU501は、S610において、全域での一致度ATが所定の値(80%)未満のまま、認証処理を開始してから5秒経過していたら(S612:YES)、全域での一致度ATの情報を通信部502に主制御部110へ出力させる。
【0026】
主制御部110は、受信した全域での一致度ATが50%未満の場合(S613:NO)、例えば利用者202の初歩的なミスで中指を登録したのに未登録の人差し指を置くといった初歩的なミスも考えられるので、「登録している指とは違っていませんか。確認願います」という警告をディスプレイ103に表示させる(S614)。主制御部110は、指静脈リーダ102のスキャナ401により、指静脈リーダ102から利用者202の指801が離れたのを確認した後(S615:YES)、S604に戻り、利用者202が指801を再度置くのを待つ。なお、本実施例の場合、全域での一致度ATが50%以上となるまで、S604以降の処理を繰り返し実行しているが、利用者202が本人でない場合、何度実行しても全域での一致度ATが50%以上とならない可能性が高い。そのため、S604以降の処理を予め定められた回数(例:3回)実行しても、一致度ATが50%以上とならない場合、取引中止としても良い。
【0027】
一方、主制御部110は、受信した全域での一致度ATが50〜80%(指静脈画像900が利用者202の物であるか疑わしい値)である場合(S613:YES)、図10に示すように、利用者202に対して指静脈読み取りでの一致度の改善を支援する「認証支援モード」に移行するか否かを選択する画面1100を表示させる(S616)。利用者202が「移行しない」ボタン1102を押下し、生体認証を中止した場合(S617:N)、引出し限度額を制限した「制限取引1」に移行する。
【0028】
図11は、取引種別1201と引出し限度額1202の対応関係を示したものであり、主制御部110のメモリ114にテーブル1200として記録されている。「通常取引」の場合、引出し限度額を高額(300万円/日)としている。また、「制限取引1」は、磁気ストライプまたはICチップによる利用者の認証のみ実施したものであり、後述する「制限取引2」や生体認証に成功した取引に比べ、セキュリティが低い取引である。そのため、引出し限度額を低額(磁気ストライプによる認証の場合は10万円/日、ICカードによる認証の場合は30万円/日)にしている。
【0029】
「認証支援モード」に移行するか否かを選択する画面1100において、利用者202が『「認証支援モード」に移行する』ボタン1101を押下した場合、(S616:Y)、主制御部110は、図12に示す「認証支援モード」に移行する(S618)。
【0030】
図12は、認証支援モードにおける処理を示すフローチャートである。主制御部110は、図13に示す指静脈の読取り時の全般的な注意事項1400をディスプレイ103に表示させる(S1301)。ICチップ301aの生体情報エリア504を読み出した結果、生体認証処理回数510「0」(利用者が初めて生体認証を行う)場合や、前回の認証結果512より、利用者が生体認証に不慣れであると判断した場合、ディスプレイ103への注意事項の表示に加え、更に詳細な注意事項を音声ガイダンスとして出力することが望ましい。
【0031】
主制御部110は、ATM101のディスプレイ103に、図14上段に示すグラフ1501のように、全域での一致度ATをグラフとして、リアルタイムに常時表示する(S1302)。また、図14下段には、一致度の低いブロック、一致度の低い推定要因、指のセット方法の改善案などが表示されるが、詳細については後に述べる。
図14上段のグラフ1501には、一致度を数値表示しているが、この表示に限るものではなく、定性的な表現や色表示をして、具体的数値は表示しないようにしても良い。例えば、一致度が大幅に不足している場合(全域での一致度ATが50%以上65%未満)は「橙色」、大幅ではないが不足している場合(全域での一致度ATが65%以上80%未満)は「黄色」、一致している場合(全域での一致度ATが80%以上85%未満)は「緑色」、よく一致している場合(全域での一致度ATが85%以上)は「青色」といった表示でも良い。
【0032】
指静脈リーダ102は、指静脈画像の読み取りを実施する(S1303)。読み取られた指静脈画像から指静脈の特徴点が抽出されることにより、認証データが作成される(S1304)。
【0033】
主制御部110は、作成した認証データを、ICチップRW部112を経由してICチップ301aに送信する。ICチップ301aのCPU501は生体AP503を実行する。CPU501は登録データ505を読み出して(S1305)、認証データが登録データ505とどの位一致するかを順次比較・照合する(S1306)。
【0034】
CPU501は、全域での一致度ATが所定の値(例:80%)以上かを確認し(S1307)、所定の値(80%)以上なら、生体認証はOKである(生体認証が成功した)と判定する。生体認証がOKとなっても、利用者202は全域での一致度ATが最も高くなる指801のセット方法を確認したい場合があるため、図15に示すように、グラフ1501及びブロック図1502を逐次更新し、指801が指静脈リーダ102から離されるのを待つ(S1308)。指801が離されると、その旨を伝える信号を、通信部502を介して主制御部110に出力する。その後、主制御部100は、「通常取引」(引出し限度額:300万円/日)として取引処理を行う(S611a〜g)。
【0035】
一方、全域での一致度ATが所定の値(80%)に満たない場合、主制御部110は、「認証支援モード」を開始してから15秒が経過したかを確認する(S1310)。「認証支援モード」を開始してから15秒が経過していない場合、図14下段に示すように、一致度の低い推定要因1503、指801のセット方法の改善案1504をイラスト付のテロップでディスプレイ103に逐次表示する(S1311)。例えば、指801を指静脈リーダ102に押し付けたり、指静脈リーダ102から反らした場合、血管が圧迫されることで血液が流れにくくなり、指静脈画像900が細くなる。この場合、指801を指静脈リーダ102に押しつけずに軽く接触するように、指801を少し持ち上げるように改善案を表示する。
【0036】
ディスプレイ103に表示された改善案に従って指801のセット方法を変更したにもかかわらず、一致度が改善しない(グラフ1501が降下する)場合、利用者202は過度の変更だったことに気付いて指801のセット方法を修正することが可能となる。一方、一致度が改善した(グラフ1501が上昇した)場合、利用者202は修正が正しかったことを確認することが可能となる。
【0037】
なお、指801のセット方法が変更中にも、推定要因1503や改善案1504もリアルタイムに変化するが、ディスプレイ103に表示する際にちらつきとなる場合がある。そこで、ディスプレイ103に表示のちらつきを抑止するために、推定要因1503や改善案1504が変化した後、一定時間連続することを確認してから、ディスプレイ103に表示させる。
【0038】
また、一致度の低い推定要因1503、指801のセット方法の改善案1504に加え、ブロック毎の一致度A0〜A8を、一致度が低いほど濃くなる濃淡で示すブロック図1502を、リアルタイムに濃淡のグラデーションで示すブロック図として表示する(S1312)。読み取った指静脈画像900をそのまま表示するのではなく、ブロック図として表示するのは、不審者による悪用を防止するためである。以上により、利用者202は、指801のセット方法について、自分の悪い癖に気付き、「改善案」に基づいて改善行動を起こし易くなる。その後、S1302以降の処理を繰り返す。
【0039】
「認証支援モード」を開始してから15秒が経過した場合、読み取った指静脈画像900の特徴を確認し(S1313)、図16に示すように、全域での一致度ATが不足する原因が一時的な本人要因によるものか判断する(S1314)。
【0040】
図16は、指静脈画像900の特徴について示したものであり、ICカード201aのICチップ301a、又は指静脈リーダ102の特徴抽出機能部402に、テーブル1700として記録されている。テーブル1700には、特徴点の判定区分1701と、特徴点自体の特徴1702を対応付けて記録されている。具体的には、図16に示すように、(1)幅の狭い線状で、蛇行や分岐をしているときや、(2)線が途中で途切れていても、延長線が描けるときは血管であると判断する。一方、(3)蛇行しない直線状の物があれば傷と判断し、(4)離れ島的な線状で、幅が広い物があれば異物が付着していると判断し、(5)点状の物が集中的に存在したり、不連続に散乱している場合は、利用者の指が汚れていると判断し、(6)一定の部分の画像が不鮮明である(かすれていたり、線が細い)場合は、指の一部が角質化していると判断し、(7)複数回読取った指静脈画像900を比較し、指が大きく動いている場合、指が震えていると判断する。
【0041】
全域での一致度ATが不足する原因が、上記(3)〜(7)のような一時的な本人要因によるものと判断された場合(S1314:YES)、主制御部110は、利用者の一時的な本人要因で、一致度不足の解消は望めない旨をディスプレイ103に表示する(S1315)。この場合、引出し限度額を高額(300万円/日)とした「通常取引」の処理を行うことができないが、「制限取引1」で設定されている引出し限度額(10万円/日または30万円/日)より多い現金を引出すことが必要な場合、別の本人認証が必要となる。
【0042】
別の本人認証を行うため、主制御部110は、利用者202が生体情報の登録時に提示した本人確認資料201bを持っているか確認する画面(図示せず)をディスプレイ103に表示する。本人確認資料201bを持参していない場合(S1316:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1317)。一方、利用者202が本人確認資料201bを持参している場合(S1316:YES)、主制御部110は、非接触ICリーダ109にかざすように案内する。係員は、生体情報の登録時に、生体認証に失敗した場合の回避手段として、本人確認資料201bが利用できる旨を説明しておくことにより、初めて生体認証を行なう利用者や生体認証に不慣れな利用者は本人確認資料201bを持参して来店していることが期待できる。
【0043】
主制御部110は、非接触ICリーダ109により、本人確認資料201bのICチップ301bから区分や個人識別番号を読み出して(S1318)、ICカード201a内のICチップ301aに記録されている本人確認資料201bの区分や個人識別番号等の情報509と一致しているか比較・照合する(S1319)。本人確認資料201bのICチップ301bが読み取れない場合、区分や個人識別番号を手入力しても良い。比較・照合の結果、区分や個人識別番号が一致しない場合(S1319:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1317)。一方、区分や個人識別番号が一致する場合(S1319:YES)、図11に示すような、「通常取引」より引出し限度額を制限しているが、「制限取引1」よりも引出し限度額を緩和した「制限取引2」に移行する。
【0044】
「制限取引2」は、磁気ストライプまたはICチップによる利用者の認証に加え、本人確認資料201bによる認証を実施したものであり、生体認証に成功した取引に比べ、セキュリティが低いが、前述の「制限取引1」よりもセキュリティの高い取引である。そのため、引出し限度額を中程度(100万円/日)にしている。
【0045】
S1314に戻り、全域での一致度ATが不足する原因が、上記(3)〜(7)のような一時的な本人要因によるものでないと判断された場合(S1314:NO)、「認証支援モード」を開始してから60秒が経過するまでは(S1321:NO)、S1311、S1312及びS1302〜S1314の処理を繰返す。すなわち、図14に示すように、指801のセット方法が変化するのに伴って、一致度の低い推定要因1503、指801のセット方法の改善案1504をイラスト付のテロップで逐次表示する。また、「認証支援モード」を開始してから60秒が経過するまでに全域での一致度ATが所定の値(80%)以上になった場合(S1307:YES)、生体認証はOKである(生体認証が成功した)と判定し、主制御部100は、「通常取引」(引出し限度額:300万円/日))として取引処理を行う(S1308〜S1309)。
【0046】
「認証支援モード」を開始してから60秒が経過した場合(S1321:YES)、主制御部110は、全域での一致度ATが65%以上か確認し(S1322)、65%未満である場合(S1322:NO)、S1315以降の処理を行う。すなわち、制御部110は、利用者の一時的な本人要因で、一致度不足の解消は望めない旨をディスプレイ103に表示し、利用者が生体情報の登録時に提示した本人確認資料201bを持っているか確認し、本人確認資料201bを持参している場合はICカード201a内のICチップ301aに記録されている本人確認資料201bの区分や個人識別番号等の情報509と一致しているか比較・照合し、結果に応じて「制限取引1」または「制限取引2」に移行する。
【0047】
一方、全域での一致度ATが65%以上である場合(S1322:YES)、主制御部110は、生体情報の登録時に指801のセット方法を忘れたり、適切でない状態で登録されたなどの恒久的な登録時不良要因により、一致度不足の解消は望めない旨をディスプレイ103に表示する(S1323)。この場合、生体情報を再登録しないときは、引出し限度額を高額(300万円/日)とした「通常取引」の処理を行うことができない。そのため、本人確認資料201bの提示を確認した後、生体情報の再登録を可能とする。
【0048】
すなわち、「認証支援モード」では、S1314において本人要因と判断できなかった場合であって、全域での一致度ATが、大幅ではないが不足している場合(50%以上65%未満)に限り、特別の対応として生体情報の再登録を可能とする。なお、S1314において本人要因と判断なかった場合であり、全域での一致度ATが、大幅に不足している場合(50%以上65%未満)に、生体情報の再登録を認めた場合はリスクが多いと考えられるため、全域での一致度ATが低い要因を本人要因と判断する。
【0049】
主制御部110は、利用者202が生体情報の登録時に提示した本人確認資料201bを持っているか確認する画面(図示せず)をディスプレイ103に表示する。本人確認資料201bを持参していない場合(S1324:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1325)。一方、利用者202が本人確認資料201bを持参している場合、主制御部110は、非接触ICリーダ109にかざすように案内する。
【0050】
主制御部110は、非接触ICリーダ109により、本人確認資料201bのICチップ301bから区分や個人識別番号を読み出して(S1326)、ICカード201a内のICチップ301aに記録されている本人確認資料201bの区分や個人識別番号等の情報509と一致しているか比較・照合する(S1327)。比較・照合の結果、区分や個人識別番号が一致しない場合(S1327:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1325)。一方、区分や個人識別番号が一致する場合(S1327:YES)、主制御部110は、利用者202に生体情報の再登録を実施するか否か確認する画面(図示せず)をディスプレイに表示する。生体情報の再登録を実施する場合(S1328:YES)、利用者202は、指静脈リーダ102に指をセットする(S1330)。その後、ICチップ301aの登録データ505のうち、既に新登録データ505aに記録されている登録データを旧登録データ505bに移動させ、指静脈リーダ102で読取られた生体情報を、新たに新登録データ505aに格納される。生体情報の再登録後、主制御部100は、「通常取引」(引出し限度額:300万円/日)として取引処理を行う(S1331)。
【0051】
一方、生体情報の再登録を実施しない場合(S1328:NO)、主制御部100は、「制限取引2」(引出し限度額:100万円/日)として取引処理を行う(S1329)。
【0052】
上記の実施例では、ATM101に実装された指静脈リーダ102で生体情報の登録・認証を行っているが、生体情報は指静脈に限定したものではなく、手のひら静脈や指紋、虹彩、顔画像といった他の生体情報でも良い。
【0053】
また、上記の実施例では、生体情報をICカード201aに搭載されたICチップ301aに記録しているが、携帯端末(例:携帯電話)に搭載されたICチップに生体情報を登録し、携帯端末を非接触ICリーダ109で読み取ることにより、同様の処理を実行しても良い。また、生体情報を金融機関のサーバに登録することにより、生体情報の一元管理を行っても良い。
【0054】
また、上記の実施例では、ICカード201aのICチップ301aに記録された指静脈画像の特徴や生体情報の一致度ATから、全域での一致度ATが不足する原因を判断したが、過去の履歴等を用いて判断しても良い。
【0055】
また、上記の実施例では、制限取引の一例として、出金額の上限を制限しているが、取引種別を制限(例えば、出金取引を制限)や、一日の取引回数を制限しても良い。
【0056】
さらに、上記の実施例では、主制御部110から利用者202への指示は、ATM101のディスプレイ103や音声ガイダンスを使用しているが、生体情報登録装置や生体認証付パソコン、あるいは生体情報認証装置自身に液晶ディスプレイ等が実装していれば、これらの装置を利用して利用者202への指示をしても良い。したがって、本発明はATMに限定したものではなく、生体情報登録装置や生体認証付パソコン、生体情報認証装置を含む一般の情報処理装置、自動機にも適用できる。この場合、自動機を利用する利用者の生体情報だけでなく、その自動機を操作する操作者(顧客・係員)の生体情報に対しても、同様の生体認証を実施することが可能である。
【符号の説明】
【0057】
101:ATM、102:指静脈リーダ、103:ディスプレイ、104:タッチパネル、105:カード取扱い機構、109:非接触ICリーダ、110:主制御部、112:ICチップリードライト部、113:CPU、114:メモリ、116:記録部、119:生体認証ユニット、201a:ICカード、201b:本人確認資料、202:利用者、301a:ICカードのICチップ、301b:本人確認資料のICチップ、401:スキャナ、402:特徴抽出機能部、403:認証機能部、404:登録機能部、504:生体情報エリア、505:登録データ、509:本人確認資料の情報、801:指、900:指静脈画像
【技術分野】
【0001】
本発明は、自動取引装置、生体認証を行う生体認証ユニット、及び生体認証方法に関する。
【背景技術】
【0002】
金融機関では、自動取引装置(以下、ATM)での取引における本人確認の方法として、指紋、虹彩、指静脈などの生体情報を用いる生体認証が利用されている。生体認証はセキュリティ性の高い方法であるが、利用者本人の認証に失敗し、取引ができない場合がある。
【0003】
上記の対応策として、特許文献1に記載された生体認証システムの場合、生体情報の一致度が十分でないときは、当該一致度の高さに応じて、限度額や回数を一部制限した取引(以下、制限取引という)を行う。また、特許文献2に記載された生体認証システムの場合、生体情報の一致度が十分でないときは、その要因と指のセット方法(置き方、位置など)の改善案をガイダンス表示し、利用者が指を置き直してから再認証を行うことにより、生体認証の成功率を向上させている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−048118号公報
【特許文献2】特開2009−009434号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、従来の生体認証システムの場合、生体情報の一致度のリアルタイムな変化や、適切な改善策が把握できなかった。また、生体情報の登録時に指のセット方法を忘れたり、適切でない状態で登録された等の要因(恒久的な登録時不良要因)や、指が傷付いていたり、指に異物や汚れが付着していた等の要因(一時的な本人要因)により認証失敗した場合、同じ指で再度生体認証を行ったとしても生体情報の一致度が上昇せずに認証失敗を繰り返す可能性がある。
【0006】
そこで、本発明は、生体情報の一致度から利用者本人か疑わしいと判断した場合(認証に成功してはいないが、利用者本人の可能性がある場合)、生体情報の再登録または制限取引を行うことにより、利用者の利便性を向上させる自動取引装置、生体認証ユニット、及び生体認証方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記の課題を解決するために、本発明は、認証時に取得した生体情報(以下、認証データ)と登録済の生体情報のテンプレート(以下、登録データ)との一致度が、所定の判定値に達しない場合、一致度が低い推定要因と指のセット方法の改善案をリアルタイムで表示する。改善策によっても生体情報の一致度が十分でない場合、改善しない要因が登録時不良要因のときは、生体情報の登録時に利用者が提示した本人確認資料(免許証、住民基本台帳カード、パスポートなどICチップに個人情報が記録された媒体や、ICチップ搭載の携帯端末)を照合した上で、生体情報の再登録及び取引処理を行う。一方、改善しない要因が一時的な本人要因である場合は、その時点では解決できないので、本人確認資料を読み取って照合確認の上、制限取引に移行する。
【発明の効果】
【0008】
本発明によれば、指のセット方法に対する改善を促しても生体認証に失敗し、その要因が恒久的な登録時不良要因である場合に、本人確認資料を照合した上で生体情報の再登録を行う。そのため、生体認証の成功率を大幅に高め、認証失敗が少なくなる。また、生体認証に失敗したとしても、利用者本人の可能性がある場合は取引が可能であるため、利用者の利便性が向上する。
【図面の簡単な説明】
【0009】
【図1】ATMの構成を示すブロック図である。
【図2】生体認証処理システムの概略図である。
【図3】生体認証ユニットの構成を示すブロック図である。
【図4】ICカードが備えるICチップの構成を示すブロック図である。
【図5】生体認証及び取引処理のフローチャートである。
【図6】取引選択の案内画面の一例である。
【図7】認証する指のセット案内画面の一例である。
【図8】指静脈リーダが読み取った指静脈画像の一例である。
【図9】生体情報の一致度のブロック別の例である。
【図10】認証支援モード移行の案内画面の一例である。
【図11】引出し限度額を記録したテーブルの一例である。
【図12】認証支援モードのフローチャートである。
【図13】生体情報読み取り時の注意事項画面の一例である。
【図14】認証支援モード表示画面の一例である(指が回転している場合)。
【図15】認証支援モード表示画面の一例である(指を押し付けている場合)。
【図16】生体情報画像の特徴を記録したテーブルの一例である。
【発明を実施するための形態】
【0010】
まず、図1〜4を用いて本実施形態の基本構成を説明する。なお、本実施形態では、生体情報として指静脈情報を用いる例を説明する。
図1は、生体認証ユニットを備えたATM101の構成を示すブロック図である。ATM101は、利用者の指静脈画像を読み取る指静脈リーダ102と、利用者への取引案内を表示するディスプレイ(液晶ディスプレイ等の表示部)103と、取引を行うために操作入力を受け付けるタッチパネル(入力部)104と、挿入されたカードを処理するカード取扱い機構105と、紙幣入出金等の紙幣を処理する紙幣入出金機構106と、明細票の印字処理を行う明細票印字機構107と、通帳の印字処理を行う通帳印字機構108と、本人確認資料(免許証、住民基本台帳カード、パスポートなどICチップに個人情報が記録された媒体や、ICチップ搭載の携帯端末)を読み取る非接触ICリーダ109と、ATM101全体の動作を制御する主制御部110とから構成される。
【0011】
カード取扱い機構105は、カードの磁気ストライプ(Magnetic Stripe(MS))に対してデータの読取り及びデータの書込みを行う磁気ストライプリードライト部(以下、磁気ストライプRW部)111と、カードのICチップに対してデータの読取り及びデータの書込みを行うICチップリードライト部(以下、ICチップRW部)112とを備える。
【0012】
また、主制御部110は、各処理を制御するCPU113と、各処理を実行するためのプログラムや取引情報等の各種データを取引成立まで一時的に記憶するRAM(Random Access Memory)などのメモリ114と、ホストやサーバとデータを送受信するための通信部115と、取引成立後に、利用者との取引情報等を逐次記録するHDD(Hard Disk Drive)などの記録部116と、及び電源117とを備える。
【0013】
本実施例では、上記の構成のうち、指静脈リーダ102と、カード取扱い機構105と、非接触ICリーダ109と、主制御部110とを合わせて、生体認証ユニット119とする。生体認証ユニット119は、上述のように、主制御部110で制御しても良いが、主制御部110とは別途に設けた制御部(図示せず)により、各部(指静脈リーダ102、カード取扱い機構105、及び非接触ICリーダ109)を制御しても良い。
【0014】
図2は、ATM101を含む生体認証システムの概略図である。ATM101は、その正面上部に、ICカード201a及び本人確認資料201bを持参する利用者202の顔画像を撮影する人物カメラ118を備え、利用者202の操作面の右端端部に設けられた載置台に、指静脈リーダ102及び非接触ICリーダ109を備えている。ATM101は、金融機関のネットワーク200を介して事務センタに設置されたホストコンピュータ203と接続されている。なお、ホストコンピュータ203は、利用者202の口座情報データ他を記憶しているデータベース204を備えている。
【0015】
図3は、生体認証ユニット119の主要部の構成を示すブロック図である。カード取扱い機構105にICカード201aが挿入されると、ICカード201aに設けられたICチップ301aは、その表面に設けられた接点(図示せず)を経由してICチップRW部112と通信する。生体認証時は、利用者202が指静脈リーダ102に指を置くと、スキャナ401が指静脈画像を読み取り、特徴抽出機能部402が指静脈画像から指静脈の特徴を抽出し、この指静脈の特徴に関するデータを認証用の生体情報(以下、認証データ)として出力する。認証機能部403は認証データを主制御部110とICチップRW部112を経由して、ICチップ301aに出力する。ICチップ301aは、登録された生体情報のテンプレート(以下、登録データ)と認証データとを比較・照合して、認証処理を実施する。なお、指静脈リーダ102の登録機能部404は、読み取った指静脈画像の特徴を抽出した登録データを、ICチップ301aに書込み登録する場合に使用される。
【0016】
このように、ICチップ301aが認証処理を実施するように構成することで、認証対象者である利用者202毎に予め登録されている登録データをICチッブ301aの外部に出力しなくて良いので、登録データの安全性を高めることができる。
【0017】
また、本人確認資料201bに搭載されたICチップ301bは、カード取扱い機構105とは別に設けられた非接触ICリーダ109にて読取られる。非接触ICリーダ109の場合、カード取り扱い機構105(ICチップRW部112がICチップ301aに接触することでICチップ301aの読取りが可能)と異なり、本人確認資料201b内のICチップ301bを近付けることにより、ICチップ301bの読取りが可能となる。
【0018】
図4は、ICカード201aが備えるICチップ301aの構成を示すブロック図である。携帯記憶媒体であるICチップ301aは、CPUのCPU501、通信部502、生体AP(アプリケーションプログラム)503、生体情報エリア504、銀行AP506、口座情報データ507、及びその他AP508を備えている。CPU501は、ICチップ301a全体を制御する。通信部502は、図3に示したカード取り扱い機構105のICチップRW部112と通信する。生体AP503は、生体情報エリア504内の登録データ505の登録や、認証処理時に利用者202から読み取られた認証データを登録データ505と照合する生体認証処理の一部を実行するための生体認証プログラムである。銀行AP506は、口座情報データ507の読み出しを実行するためのプログラムである。また、ICチップ301aには、金融機関別にクレジットなどの処理を行うその他AP508が組込まれることがある。
生体情報エリア504は、複数の領域に区分けされており、利用者202の生体情報(登録生体情報)である登録データ505、登録時に利用者202が提示した本人確認資料201bの区分や個人識別番号等の情報509、ATM101での取引時に生体認証処理を行った回数の累計である生体認証処理回数510、生体認証を失敗した回数の累計である生体認証失敗回数511、前回取引での生体認証の結果である前回の認証結果512等が記憶されている。
【0019】
生体情報エリア504の生体認証処理回数510が「0」とは、利用者202がICカード201aの発行後初めて生体認証を行うことを示す。前回の認証結果512は、前回の認証時に認証処理をリトライすることなく生体認証が成功したこと、認証処理をリトライしたことにより生体認証が成功したこと、又は生体認証が失敗したまま取引が終了したことを記憶している。これにより、利用者202が生体認証に慣れているか否かを判断することが可能である。
【0020】
次に、ATM101における生体認証処理の具体的な処理について説明する。
図5は、指静脈情報が登録されたICカード201aを使用した生体認証と、取引処理の一例として引出取引を行う場合を示したフローチャートである。主制御部110のCPU113(以下、主制御部110)は、利用者202が接近したことをATM101に設けた顧客検知センサ(図示せず)で検知した場合、ディスプレイ103にいらっしゃいませ画面を表示後、図6に示すような取引選択の案内画面700を表示する。利用者202により、案内画面から「引出し」を選択した後(S601)、カード取扱い機構105にICカード201aを挿入されると(S602)、磁気ストライプRW部111は磁気ストライプに記録されたICチップ301a搭載の有無を読み取り、ICチップ301aが搭載されている場合、ICチップRW部112はICチップ301aに記録された口座情報データ507を読み取る。また、ICカード201aがカード取扱い機構105に挿入されたことを検知後、主制御部110は人物カメラ118に利用者202の顔画像を撮影させ、記録部116に利用者202の顔画像を記憶する(S603)。
【0021】
主制御部110は、図7に示すような認証対象の指を指静脈リーダ102にセットさせる案内画面800をディスプレイ103に表示する。案内画面800を確認した利用者202により、指が指静脈リーダ102に置かれたことを検知すると(S604)、指静脈リーダ102は、指静脈画像の読み取りを実施する(S605)。読み取られた指静脈画像から指静脈の特徴点が抽出されることにより、認証データが作成される(S606)。
【0022】
図8は、指静脈リーダ102の特徴機能抽出部402により読み取られた利用者202の指静脈情報の一例を示す図である。利用者の指801から読み取った指静脈画像900から、特徴抽出機能部402により指静脈の特徴点を抽出して、指801全体の認証データとして出力する。また、指静脈画像900は、上下方向に3分割(指先・中央・根元)、左右方向に3分割(左・中・右)、計9個のブロック901〜909に分割され、ブロック毎についても特徴点の抽出及び認証データの出力を行う。特徴点とは、指静脈画像900の端点・交差点・屈曲点などに種類分けし、指静脈画像900の根元で中央付近の分岐点を基準点とした位置座標・距離・方向等の情報である。なお、分割するブロック数、及び抽出する特徴点の数は一定の値でなくても良く、利用者毎・ブロック毎に変えることも可能である。
【0023】
図5に戻り、指静脈画像900の特徴点を抽出した(S606)後、主制御部110は、作成した認証データを、ICチップRW部112を経由してICチップ301aに送信する。ICチップ301aのCPU501は生体AP503を実行する。CPU501は登録データ505を読み出して(S607)、認証データが登録データ505とどの位一致するかを順次比較・照合していく(S608)。比較・照合結果から、図9に示すように、全域での一致度AT、及び各ブロック別の一致度A0〜A8を算出する(S609)。一致度とは、ICチップ301aから読み出した登録データと、S606で作成された認証データとが一致する割合をいう。本実施例では、認証データ全域での一致度ATと、図9に示す各ブロック別の一致度A0〜A8とを算出する。
【0024】
CPU501は、全域での一致度ATが所定の値(例:80%)以上かを確認し(S610)、所定の値(80%)以上なら、生体認証はOKである(生体認証が成功した)と判定し、その旨を伝える信号を、通信部502を介して主制御部110に出力する。その後、主制御部100は以下の通り取引処理を行う(S611a〜g)。すなわち、主制御部110は、暗証番号の入力操作の受付(S611a)、引出し金額の入力操作の受付(S611b)及び確認操作の受付(S611c)の完了後、事務センタのホストコンピュータ203と交信して、暗証番号・引出し金額の照会を行う(S611d)。暗証番号・引出し金額に問題が無い場合(S611e:YES)、出金処理を行い(S611f)、ICカードを返却して(S611g)、処理を終了する。また、主制御部110は、暗証番号・引出し金額に問題があれば(S611e:NO)、S611a以降の処理を行う。上記の取引処理では、生体認証がOKであったため、図11に示すように引出し限度額を高額とした取引である「通常取引」としている。
【0025】
一方、CPU501は、S610で全域での一致度ATが所定の値(80%)未満なら、認証処理を開始してから5秒経過したか確認する(S612)。CPU501は、5秒が経過していなければ(S612:NO)ら、主制御部110とともにS605以降の処理を行う。すなわち、主制御部110は、指静脈リーダ102に置かれた指801の指静脈画像900を再度複数回読取らせて認証データを生成してICチップ301aに出力し、CPU501は、認証データと登録データを照合して、一致度を算出する。また、CPU501は、S610において、全域での一致度ATが所定の値(80%)未満のまま、認証処理を開始してから5秒経過していたら(S612:YES)、全域での一致度ATの情報を通信部502に主制御部110へ出力させる。
【0026】
主制御部110は、受信した全域での一致度ATが50%未満の場合(S613:NO)、例えば利用者202の初歩的なミスで中指を登録したのに未登録の人差し指を置くといった初歩的なミスも考えられるので、「登録している指とは違っていませんか。確認願います」という警告をディスプレイ103に表示させる(S614)。主制御部110は、指静脈リーダ102のスキャナ401により、指静脈リーダ102から利用者202の指801が離れたのを確認した後(S615:YES)、S604に戻り、利用者202が指801を再度置くのを待つ。なお、本実施例の場合、全域での一致度ATが50%以上となるまで、S604以降の処理を繰り返し実行しているが、利用者202が本人でない場合、何度実行しても全域での一致度ATが50%以上とならない可能性が高い。そのため、S604以降の処理を予め定められた回数(例:3回)実行しても、一致度ATが50%以上とならない場合、取引中止としても良い。
【0027】
一方、主制御部110は、受信した全域での一致度ATが50〜80%(指静脈画像900が利用者202の物であるか疑わしい値)である場合(S613:YES)、図10に示すように、利用者202に対して指静脈読み取りでの一致度の改善を支援する「認証支援モード」に移行するか否かを選択する画面1100を表示させる(S616)。利用者202が「移行しない」ボタン1102を押下し、生体認証を中止した場合(S617:N)、引出し限度額を制限した「制限取引1」に移行する。
【0028】
図11は、取引種別1201と引出し限度額1202の対応関係を示したものであり、主制御部110のメモリ114にテーブル1200として記録されている。「通常取引」の場合、引出し限度額を高額(300万円/日)としている。また、「制限取引1」は、磁気ストライプまたはICチップによる利用者の認証のみ実施したものであり、後述する「制限取引2」や生体認証に成功した取引に比べ、セキュリティが低い取引である。そのため、引出し限度額を低額(磁気ストライプによる認証の場合は10万円/日、ICカードによる認証の場合は30万円/日)にしている。
【0029】
「認証支援モード」に移行するか否かを選択する画面1100において、利用者202が『「認証支援モード」に移行する』ボタン1101を押下した場合、(S616:Y)、主制御部110は、図12に示す「認証支援モード」に移行する(S618)。
【0030】
図12は、認証支援モードにおける処理を示すフローチャートである。主制御部110は、図13に示す指静脈の読取り時の全般的な注意事項1400をディスプレイ103に表示させる(S1301)。ICチップ301aの生体情報エリア504を読み出した結果、生体認証処理回数510「0」(利用者が初めて生体認証を行う)場合や、前回の認証結果512より、利用者が生体認証に不慣れであると判断した場合、ディスプレイ103への注意事項の表示に加え、更に詳細な注意事項を音声ガイダンスとして出力することが望ましい。
【0031】
主制御部110は、ATM101のディスプレイ103に、図14上段に示すグラフ1501のように、全域での一致度ATをグラフとして、リアルタイムに常時表示する(S1302)。また、図14下段には、一致度の低いブロック、一致度の低い推定要因、指のセット方法の改善案などが表示されるが、詳細については後に述べる。
図14上段のグラフ1501には、一致度を数値表示しているが、この表示に限るものではなく、定性的な表現や色表示をして、具体的数値は表示しないようにしても良い。例えば、一致度が大幅に不足している場合(全域での一致度ATが50%以上65%未満)は「橙色」、大幅ではないが不足している場合(全域での一致度ATが65%以上80%未満)は「黄色」、一致している場合(全域での一致度ATが80%以上85%未満)は「緑色」、よく一致している場合(全域での一致度ATが85%以上)は「青色」といった表示でも良い。
【0032】
指静脈リーダ102は、指静脈画像の読み取りを実施する(S1303)。読み取られた指静脈画像から指静脈の特徴点が抽出されることにより、認証データが作成される(S1304)。
【0033】
主制御部110は、作成した認証データを、ICチップRW部112を経由してICチップ301aに送信する。ICチップ301aのCPU501は生体AP503を実行する。CPU501は登録データ505を読み出して(S1305)、認証データが登録データ505とどの位一致するかを順次比較・照合する(S1306)。
【0034】
CPU501は、全域での一致度ATが所定の値(例:80%)以上かを確認し(S1307)、所定の値(80%)以上なら、生体認証はOKである(生体認証が成功した)と判定する。生体認証がOKとなっても、利用者202は全域での一致度ATが最も高くなる指801のセット方法を確認したい場合があるため、図15に示すように、グラフ1501及びブロック図1502を逐次更新し、指801が指静脈リーダ102から離されるのを待つ(S1308)。指801が離されると、その旨を伝える信号を、通信部502を介して主制御部110に出力する。その後、主制御部100は、「通常取引」(引出し限度額:300万円/日)として取引処理を行う(S611a〜g)。
【0035】
一方、全域での一致度ATが所定の値(80%)に満たない場合、主制御部110は、「認証支援モード」を開始してから15秒が経過したかを確認する(S1310)。「認証支援モード」を開始してから15秒が経過していない場合、図14下段に示すように、一致度の低い推定要因1503、指801のセット方法の改善案1504をイラスト付のテロップでディスプレイ103に逐次表示する(S1311)。例えば、指801を指静脈リーダ102に押し付けたり、指静脈リーダ102から反らした場合、血管が圧迫されることで血液が流れにくくなり、指静脈画像900が細くなる。この場合、指801を指静脈リーダ102に押しつけずに軽く接触するように、指801を少し持ち上げるように改善案を表示する。
【0036】
ディスプレイ103に表示された改善案に従って指801のセット方法を変更したにもかかわらず、一致度が改善しない(グラフ1501が降下する)場合、利用者202は過度の変更だったことに気付いて指801のセット方法を修正することが可能となる。一方、一致度が改善した(グラフ1501が上昇した)場合、利用者202は修正が正しかったことを確認することが可能となる。
【0037】
なお、指801のセット方法が変更中にも、推定要因1503や改善案1504もリアルタイムに変化するが、ディスプレイ103に表示する際にちらつきとなる場合がある。そこで、ディスプレイ103に表示のちらつきを抑止するために、推定要因1503や改善案1504が変化した後、一定時間連続することを確認してから、ディスプレイ103に表示させる。
【0038】
また、一致度の低い推定要因1503、指801のセット方法の改善案1504に加え、ブロック毎の一致度A0〜A8を、一致度が低いほど濃くなる濃淡で示すブロック図1502を、リアルタイムに濃淡のグラデーションで示すブロック図として表示する(S1312)。読み取った指静脈画像900をそのまま表示するのではなく、ブロック図として表示するのは、不審者による悪用を防止するためである。以上により、利用者202は、指801のセット方法について、自分の悪い癖に気付き、「改善案」に基づいて改善行動を起こし易くなる。その後、S1302以降の処理を繰り返す。
【0039】
「認証支援モード」を開始してから15秒が経過した場合、読み取った指静脈画像900の特徴を確認し(S1313)、図16に示すように、全域での一致度ATが不足する原因が一時的な本人要因によるものか判断する(S1314)。
【0040】
図16は、指静脈画像900の特徴について示したものであり、ICカード201aのICチップ301a、又は指静脈リーダ102の特徴抽出機能部402に、テーブル1700として記録されている。テーブル1700には、特徴点の判定区分1701と、特徴点自体の特徴1702を対応付けて記録されている。具体的には、図16に示すように、(1)幅の狭い線状で、蛇行や分岐をしているときや、(2)線が途中で途切れていても、延長線が描けるときは血管であると判断する。一方、(3)蛇行しない直線状の物があれば傷と判断し、(4)離れ島的な線状で、幅が広い物があれば異物が付着していると判断し、(5)点状の物が集中的に存在したり、不連続に散乱している場合は、利用者の指が汚れていると判断し、(6)一定の部分の画像が不鮮明である(かすれていたり、線が細い)場合は、指の一部が角質化していると判断し、(7)複数回読取った指静脈画像900を比較し、指が大きく動いている場合、指が震えていると判断する。
【0041】
全域での一致度ATが不足する原因が、上記(3)〜(7)のような一時的な本人要因によるものと判断された場合(S1314:YES)、主制御部110は、利用者の一時的な本人要因で、一致度不足の解消は望めない旨をディスプレイ103に表示する(S1315)。この場合、引出し限度額を高額(300万円/日)とした「通常取引」の処理を行うことができないが、「制限取引1」で設定されている引出し限度額(10万円/日または30万円/日)より多い現金を引出すことが必要な場合、別の本人認証が必要となる。
【0042】
別の本人認証を行うため、主制御部110は、利用者202が生体情報の登録時に提示した本人確認資料201bを持っているか確認する画面(図示せず)をディスプレイ103に表示する。本人確認資料201bを持参していない場合(S1316:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1317)。一方、利用者202が本人確認資料201bを持参している場合(S1316:YES)、主制御部110は、非接触ICリーダ109にかざすように案内する。係員は、生体情報の登録時に、生体認証に失敗した場合の回避手段として、本人確認資料201bが利用できる旨を説明しておくことにより、初めて生体認証を行なう利用者や生体認証に不慣れな利用者は本人確認資料201bを持参して来店していることが期待できる。
【0043】
主制御部110は、非接触ICリーダ109により、本人確認資料201bのICチップ301bから区分や個人識別番号を読み出して(S1318)、ICカード201a内のICチップ301aに記録されている本人確認資料201bの区分や個人識別番号等の情報509と一致しているか比較・照合する(S1319)。本人確認資料201bのICチップ301bが読み取れない場合、区分や個人識別番号を手入力しても良い。比較・照合の結果、区分や個人識別番号が一致しない場合(S1319:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1317)。一方、区分や個人識別番号が一致する場合(S1319:YES)、図11に示すような、「通常取引」より引出し限度額を制限しているが、「制限取引1」よりも引出し限度額を緩和した「制限取引2」に移行する。
【0044】
「制限取引2」は、磁気ストライプまたはICチップによる利用者の認証に加え、本人確認資料201bによる認証を実施したものであり、生体認証に成功した取引に比べ、セキュリティが低いが、前述の「制限取引1」よりもセキュリティの高い取引である。そのため、引出し限度額を中程度(100万円/日)にしている。
【0045】
S1314に戻り、全域での一致度ATが不足する原因が、上記(3)〜(7)のような一時的な本人要因によるものでないと判断された場合(S1314:NO)、「認証支援モード」を開始してから60秒が経過するまでは(S1321:NO)、S1311、S1312及びS1302〜S1314の処理を繰返す。すなわち、図14に示すように、指801のセット方法が変化するのに伴って、一致度の低い推定要因1503、指801のセット方法の改善案1504をイラスト付のテロップで逐次表示する。また、「認証支援モード」を開始してから60秒が経過するまでに全域での一致度ATが所定の値(80%)以上になった場合(S1307:YES)、生体認証はOKである(生体認証が成功した)と判定し、主制御部100は、「通常取引」(引出し限度額:300万円/日))として取引処理を行う(S1308〜S1309)。
【0046】
「認証支援モード」を開始してから60秒が経過した場合(S1321:YES)、主制御部110は、全域での一致度ATが65%以上か確認し(S1322)、65%未満である場合(S1322:NO)、S1315以降の処理を行う。すなわち、制御部110は、利用者の一時的な本人要因で、一致度不足の解消は望めない旨をディスプレイ103に表示し、利用者が生体情報の登録時に提示した本人確認資料201bを持っているか確認し、本人確認資料201bを持参している場合はICカード201a内のICチップ301aに記録されている本人確認資料201bの区分や個人識別番号等の情報509と一致しているか比較・照合し、結果に応じて「制限取引1」または「制限取引2」に移行する。
【0047】
一方、全域での一致度ATが65%以上である場合(S1322:YES)、主制御部110は、生体情報の登録時に指801のセット方法を忘れたり、適切でない状態で登録されたなどの恒久的な登録時不良要因により、一致度不足の解消は望めない旨をディスプレイ103に表示する(S1323)。この場合、生体情報を再登録しないときは、引出し限度額を高額(300万円/日)とした「通常取引」の処理を行うことができない。そのため、本人確認資料201bの提示を確認した後、生体情報の再登録を可能とする。
【0048】
すなわち、「認証支援モード」では、S1314において本人要因と判断できなかった場合であって、全域での一致度ATが、大幅ではないが不足している場合(50%以上65%未満)に限り、特別の対応として生体情報の再登録を可能とする。なお、S1314において本人要因と判断なかった場合であり、全域での一致度ATが、大幅に不足している場合(50%以上65%未満)に、生体情報の再登録を認めた場合はリスクが多いと考えられるため、全域での一致度ATが低い要因を本人要因と判断する。
【0049】
主制御部110は、利用者202が生体情報の登録時に提示した本人確認資料201bを持っているか確認する画面(図示せず)をディスプレイ103に表示する。本人確認資料201bを持参していない場合(S1324:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1325)。一方、利用者202が本人確認資料201bを持参している場合、主制御部110は、非接触ICリーダ109にかざすように案内する。
【0050】
主制御部110は、非接触ICリーダ109により、本人確認資料201bのICチップ301bから区分や個人識別番号を読み出して(S1326)、ICカード201a内のICチップ301aに記録されている本人確認資料201bの区分や個人識別番号等の情報509と一致しているか比較・照合する(S1327)。比較・照合の結果、区分や個人識別番号が一致しない場合(S1327:NO)、引出し限度額が低額である「制限取引1」(引出し限度額:10万円/日または30万円/日)に移行する(S1325)。一方、区分や個人識別番号が一致する場合(S1327:YES)、主制御部110は、利用者202に生体情報の再登録を実施するか否か確認する画面(図示せず)をディスプレイに表示する。生体情報の再登録を実施する場合(S1328:YES)、利用者202は、指静脈リーダ102に指をセットする(S1330)。その後、ICチップ301aの登録データ505のうち、既に新登録データ505aに記録されている登録データを旧登録データ505bに移動させ、指静脈リーダ102で読取られた生体情報を、新たに新登録データ505aに格納される。生体情報の再登録後、主制御部100は、「通常取引」(引出し限度額:300万円/日)として取引処理を行う(S1331)。
【0051】
一方、生体情報の再登録を実施しない場合(S1328:NO)、主制御部100は、「制限取引2」(引出し限度額:100万円/日)として取引処理を行う(S1329)。
【0052】
上記の実施例では、ATM101に実装された指静脈リーダ102で生体情報の登録・認証を行っているが、生体情報は指静脈に限定したものではなく、手のひら静脈や指紋、虹彩、顔画像といった他の生体情報でも良い。
【0053】
また、上記の実施例では、生体情報をICカード201aに搭載されたICチップ301aに記録しているが、携帯端末(例:携帯電話)に搭載されたICチップに生体情報を登録し、携帯端末を非接触ICリーダ109で読み取ることにより、同様の処理を実行しても良い。また、生体情報を金融機関のサーバに登録することにより、生体情報の一元管理を行っても良い。
【0054】
また、上記の実施例では、ICカード201aのICチップ301aに記録された指静脈画像の特徴や生体情報の一致度ATから、全域での一致度ATが不足する原因を判断したが、過去の履歴等を用いて判断しても良い。
【0055】
また、上記の実施例では、制限取引の一例として、出金額の上限を制限しているが、取引種別を制限(例えば、出金取引を制限)や、一日の取引回数を制限しても良い。
【0056】
さらに、上記の実施例では、主制御部110から利用者202への指示は、ATM101のディスプレイ103や音声ガイダンスを使用しているが、生体情報登録装置や生体認証付パソコン、あるいは生体情報認証装置自身に液晶ディスプレイ等が実装していれば、これらの装置を利用して利用者202への指示をしても良い。したがって、本発明はATMに限定したものではなく、生体情報登録装置や生体認証付パソコン、生体情報認証装置を含む一般の情報処理装置、自動機にも適用できる。この場合、自動機を利用する利用者の生体情報だけでなく、その自動機を操作する操作者(顧客・係員)の生体情報に対しても、同様の生体認証を実施することが可能である。
【符号の説明】
【0057】
101:ATM、102:指静脈リーダ、103:ディスプレイ、104:タッチパネル、105:カード取扱い機構、109:非接触ICリーダ、110:主制御部、112:ICチップリードライト部、113:CPU、114:メモリ、116:記録部、119:生体認証ユニット、201a:ICカード、201b:本人確認資料、202:利用者、301a:ICカードのICチップ、301b:本人確認資料のICチップ、401:スキャナ、402:特徴抽出機能部、403:認証機能部、404:登録機能部、504:生体情報エリア、505:登録データ、509:本人確認資料の情報、801:指、900:指静脈画像
【特許請求の範囲】
【請求項1】
認証対象者のICカードを読み取るカードリーダと、前記認証対象者の生体情報である第一の個人情報を読み取る第一の読取部と、前記認証対象者に対する表示データを表示する表示部と、装置全体の動作を制御する制御部と、を備えた自動取引装置であって、
前記制御部は、
前記第一の読取部で読取られた前記第一の個人情報と、前記ICカードに予め記録されている認証対象者の第一の個人情報とを比較した一致度の分布を一定時間毎に取得すると共に、前記一致度の分布における一定時間毎の変化に応じて、前記第一の読取部に対する前記認証対象者の生体の置き方の変更を指示する表示データを前記表示部に出力し、
予め定めた時間を経過した後に、一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、該要因を含む表示データを前記表示部に出力することを特徴とする自動取引装置。
【請求項2】
請求項1に記載の自動取引装置であって、
前記制御部は、
前記第一の読取部で前記第一の読取部で読取られた第一の個人情報が、第一の読取部、又は前記ICカードに予め記録されている特徴を有する場合、前記一致度が低い要因は、前記第一の読取部で読取られた第一の個人情報にあると判断する自動取引装置。
【請求項3】
請求項1または2に記載の自動取引装置であって、
前記制御部は、
前記第一の読取部で前記第一の読取部で読取られた第一の個人情報が、第一の読取部、又は前記ICカードに予め記録されている特徴を有さず、前記一致度が前記第一の閾値より低い第二の閾値より低い場合、前記一致度が低い要因は、前記第一の読取部で読取られた第一の個人情報にあると判断する自動取引装置。
【請求項4】
請求項3に記載の自動取引装置であって、
前記一致度が第二の閾値より高い場合、前記一致度が低い要因は、前記ICカードに予め記録されている認証対象者の生体情報にあると判断する自動取引装置。
【請求項5】
請求項1〜4のいずれかに記載の自動取引装置であって、
前記第二の個人情報を読取る第二の読取部を有し、
前記制御部は、
読取られた前記第二の個人情報と、前記ICカードに予め登録されている認証対象者の第二の個人情報とが一致し、前記一致度が低い要因が、前記ICカードに予め登録されている認証対象者の生体情報にある場合、前記第一の読取部で読取られた前記第一の個人情報を前記ICカードに記録することを特徴とする自動取引装置。
【請求項6】
請求項5に記載の自動取引装置であって、
前記制御部は、
前記第一の読取部で読取られた前記第一の個人情報を前記ICカードに記録した後、前記認証対象者の入力操作に応じた取引処理を行うことを特徴とする自動取引装置。
【請求項7】
請求項5〜6のいずれかに記載の自動取引装置であって、
読取られた前記第二の個人情報と、前記ICカードに予め登録されている認証対象者の第二の個人情報とが一致しない場合、読取られた前記第二の個人情報と、前記ICカードに予め登録されている認証対象者の第二の個人情報とが一致する場合に比べて取引処理を制限することを特徴とする自動取引装置。
【請求項8】
認証対象者の生体情報を読み取って、生体認証する生体認証ユニットであって、
認証対象者のICカードを読み取るカードリーダと、前記認証対象者の生体情報である第一の個人情報を読み取る第一の読取部と、生体認証に関する各種情報を前記生体認証ユニットの外部に出力する出力部と、前記生体認証ユニットを制御する制御部とを備え、
前記制御部は、
前記第一の読取部で読取られた前記第一の個人情報と、前記ICカードに予め記録されている認証対象者の第一の個人情報とを比較した一致度の分布を一定時間毎に取得すると共に、前記一致度の分布における一定時間毎の変化に応じて、前記第一の読取部に対する前記認証対象者の生体の置き方の変更を指示する情報を前記出力部より出力し、
予め定めた時間を経過した後に、一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、該要因を含む情報を前記出力部より出力することを特徴とする生体認証ユニット。
【請求項9】
認証対象者の生体情報を読み取って、生体認証を行う生体認証方法であって、
前記認証対象者の生体情報である第一の個人情報を読み取るステップと、
前記第一の読取部で読取られた前記第一の個人情報と、ICカードに予め記録されている認証対象者の第一の個人情報とを比較した一致度の分布を一定時間毎に取得するステップと、
前記一致度の分布における一定時間毎の変化に応じて、前記第一の読取部に対する前記認証対象者の生体の置き方の変更を指示する情報を出力するステップと、
予め定めた時間を経過した後に、一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、該要因を含む情報を出力するステップと、
を備えた生体認証方法。
【請求項1】
認証対象者のICカードを読み取るカードリーダと、前記認証対象者の生体情報である第一の個人情報を読み取る第一の読取部と、前記認証対象者に対する表示データを表示する表示部と、装置全体の動作を制御する制御部と、を備えた自動取引装置であって、
前記制御部は、
前記第一の読取部で読取られた前記第一の個人情報と、前記ICカードに予め記録されている認証対象者の第一の個人情報とを比較した一致度の分布を一定時間毎に取得すると共に、前記一致度の分布における一定時間毎の変化に応じて、前記第一の読取部に対する前記認証対象者の生体の置き方の変更を指示する表示データを前記表示部に出力し、
予め定めた時間を経過した後に、一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、該要因を含む表示データを前記表示部に出力することを特徴とする自動取引装置。
【請求項2】
請求項1に記載の自動取引装置であって、
前記制御部は、
前記第一の読取部で前記第一の読取部で読取られた第一の個人情報が、第一の読取部、又は前記ICカードに予め記録されている特徴を有する場合、前記一致度が低い要因は、前記第一の読取部で読取られた第一の個人情報にあると判断する自動取引装置。
【請求項3】
請求項1または2に記載の自動取引装置であって、
前記制御部は、
前記第一の読取部で前記第一の読取部で読取られた第一の個人情報が、第一の読取部、又は前記ICカードに予め記録されている特徴を有さず、前記一致度が前記第一の閾値より低い第二の閾値より低い場合、前記一致度が低い要因は、前記第一の読取部で読取られた第一の個人情報にあると判断する自動取引装置。
【請求項4】
請求項3に記載の自動取引装置であって、
前記一致度が第二の閾値より高い場合、前記一致度が低い要因は、前記ICカードに予め記録されている認証対象者の生体情報にあると判断する自動取引装置。
【請求項5】
請求項1〜4のいずれかに記載の自動取引装置であって、
前記第二の個人情報を読取る第二の読取部を有し、
前記制御部は、
読取られた前記第二の個人情報と、前記ICカードに予め登録されている認証対象者の第二の個人情報とが一致し、前記一致度が低い要因が、前記ICカードに予め登録されている認証対象者の生体情報にある場合、前記第一の読取部で読取られた前記第一の個人情報を前記ICカードに記録することを特徴とする自動取引装置。
【請求項6】
請求項5に記載の自動取引装置であって、
前記制御部は、
前記第一の読取部で読取られた前記第一の個人情報を前記ICカードに記録した後、前記認証対象者の入力操作に応じた取引処理を行うことを特徴とする自動取引装置。
【請求項7】
請求項5〜6のいずれかに記載の自動取引装置であって、
読取られた前記第二の個人情報と、前記ICカードに予め登録されている認証対象者の第二の個人情報とが一致しない場合、読取られた前記第二の個人情報と、前記ICカードに予め登録されている認証対象者の第二の個人情報とが一致する場合に比べて取引処理を制限することを特徴とする自動取引装置。
【請求項8】
認証対象者の生体情報を読み取って、生体認証する生体認証ユニットであって、
認証対象者のICカードを読み取るカードリーダと、前記認証対象者の生体情報である第一の個人情報を読み取る第一の読取部と、生体認証に関する各種情報を前記生体認証ユニットの外部に出力する出力部と、前記生体認証ユニットを制御する制御部とを備え、
前記制御部は、
前記第一の読取部で読取られた前記第一の個人情報と、前記ICカードに予め記録されている認証対象者の第一の個人情報とを比較した一致度の分布を一定時間毎に取得すると共に、前記一致度の分布における一定時間毎の変化に応じて、前記第一の読取部に対する前記認証対象者の生体の置き方の変更を指示する情報を前記出力部より出力し、
予め定めた時間を経過した後に、一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、該要因を含む情報を前記出力部より出力することを特徴とする生体認証ユニット。
【請求項9】
認証対象者の生体情報を読み取って、生体認証を行う生体認証方法であって、
前記認証対象者の生体情報である第一の個人情報を読み取るステップと、
前記第一の読取部で読取られた前記第一の個人情報と、ICカードに予め記録されている認証対象者の第一の個人情報とを比較した一致度の分布を一定時間毎に取得するステップと、
前記一致度の分布における一定時間毎の変化に応じて、前記第一の読取部に対する前記認証対象者の生体の置き方の変更を指示する情報を出力するステップと、
予め定めた時間を経過した後に、一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、該要因を含む情報を出力するステップと、
を備えた生体認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2012−221266(P2012−221266A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2011−86920(P2011−86920)
【出願日】平成23年4月11日(2011.4.11)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願日】平成23年4月11日(2011.4.11)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]