不正取引防止システムおよび端末装置
【課題】ATMにおける代理人取引に際し、事前の代理人登録を不要として、かつ安全な代理人取引を可能とする。
【解決手段】第1認証情報の入力を受付ける第1認証情報入力手段31を備え、第1認証情報と利用者認証用の媒体20が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する第1端末30と、第2認証情報の入力を受付ける第2認証情報入力手段41を備え、第1端末30と通信可能な第2端末40とを備えるシステムにおいて、第1端末30が、認証情報の入力を受付けるに際し第1認証情報入力手段31または第2認証情報入力手段41のいずれかを使用すべく、認証情報入力用の端末を第1端末30と第2端末40とで切り替える、認証情報入力端末切替手段を有することとする。
【解決手段】第1認証情報の入力を受付ける第1認証情報入力手段31を備え、第1認証情報と利用者認証用の媒体20が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する第1端末30と、第2認証情報の入力を受付ける第2認証情報入力手段41を備え、第1端末30と通信可能な第2端末40とを備えるシステムにおいて、第1端末30が、認証情報の入力を受付けるに際し第1認証情報入力手段31または第2認証情報入力手段41のいずれかを使用すべく、認証情報入力用の端末を第1端末30と第2端末40とで切り替える、認証情報入力端末切替手段を有することとする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正取引防止システムおよび端末装置に関し、特に、金融機関などに設置されるATM(現金自動預け払い機)における本人確認のセキュリティ技術に関する。
【背景技術】
【0002】
金融機関やコンビニエンスストアなどに設置されるATMは、一般人の生活にとって欠くことのできないものとなっている。利用者がATMで取引する時には、知識(暗証番号)と所持品(キャッシュカード)を利用して本人確認を行い、本人であることが確認されると口座の取引(払い戻し、振込み、キャッシングなど)を行えることが知られている。
【0003】
また、非特許文献1によると、本人確認にバイオメトリクス情報を利用するATMも実用化されている。さらに特許文献1によると、利用者が携帯端末に暗証番号と取引情報を事前に入力しておきATMに携帯端末をかざすだけで、携帯端末とATM間で非接触の近距離通信が行われ、迅速に取引できることが述べられている。
【0004】
ところで、ATMで取引する者は本人に限らず、本人以外の代理人による取引のニーズもある。特許文献2には、本人が代理人に現金の引き出しの機会を提供したい場合もあることが述べられている。
【0005】
非特許文献2によれば、バイオメトリクス情報で本人確認を行うATMでは、本人以外の代理人のバイオメトリクス情報をあらかじめ登録しておけば、代理人もATMで取引することができることが述べられている。
【特許文献1】特開2001−297198号公報
【特許文献2】特開2004−303057号公報
【非特許文献1】Mitsubishi Tokyo Financial Group、Inc.、The Bank of Tokyo−Mitsubishi、Ltd.、「Launch of "Super IC Card Tokyo−Mitsubishi VISA"」、[online]、平成16年9月22日、東京三菱銀行、[平成17年1月17日検索]、インターネット<URL:http://www.btm.co.jp/english/press/news2004/pdf/news212e.pdf>
【非特許文献2】東京三菱銀行、『スーパーICカード「東京三菱―VISA」ご注意事項』、[online]、平成16年10月、東京三菱銀行、[平成17年1月17日検索]、インターネット<URL:http://www.btm.co.jp/tsukau/card/visa/ryui.htm>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、知識や所持品を利用した本人確認では、知識の聞き出しや類推、所持品の盗難や偽造によるなりすましを防止することができない。また、バイオメトリクス情報を利用した本人確認において代理人取引を行うには、事前の登録が必要となり、利便性が低下する。また携帯端末に事前入力する前記特許文献1の方法では、代理人取引の時には携帯端末ごと代理人に渡す必要があり、セキュリティが低下してしまう。
【0007】
そこで本発明は、ATMにおける代理人取引に際し、事前の代理人登録を不要として、かつ安全な代理人取引を可能とする、不正取引防止システムおよび端末装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の不正取引防止システムは、事前に代理人を登録することなく、かつ安全に代理人取引が行うという目的を、本人による取引時にはATMの備える第1認証情報入力部で認証情報を入力し、本人以外による取引時には本人所有の携帯端末の備える第2認証情報入力部で認証情報を入力するように、認証情報入力端末切替手段が認証情報の入力端末を切り替えて本人確認を行うことで実現した。
【0009】
上記課題を解決する本発明の不正取引防止システムは、第1認証情報の入力を受付ける第1認証情報入力手段を備え、前記第1認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する第1端末と、第2認証情報の入力を受付ける第2認証情報入力手段を備え、前記第1端末と通信可能な前記第2端末とを備えるシステムにおいて、前記第1端末が、認証情報の入力を受付けるに際し前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を前記第1端末と第2端末とで切り替える、認証情報入力端末切替手段を有する。
【0010】
また、本発明の不正取引防止システムは、前記第1端末が、利用者からの入力を受け付ける第1入力手段を備え、前記第1入力手段が、前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを認証情報入力に用いる旨の選択を受け付け、前記認証情報入力端末切替手段が、前記選択に応じて認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることとすれば好適である。
【0011】
また、本発明の不正取引防止システムは、前記認証情報入力端末切替手段が、前記第2端末について取得した位置情報と、前記第1端末の設置場所と比較して、前記第1端末と前記第2端末との距離が所定範囲内である場合に前記第1認証情報入力手段を利用し、前記距離が所定範囲を超える場合に前記第2認証情報入力手段を利用すべく、認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることとすれば好適である。
【0012】
また、本発明の不正取引防止システムは、前記第2端末が前記第2端末の所有者への所定通知を行うための第2通知手段を備え、前記第2通知手段が、認証情報入力用の端末として前記第1認証情報入力手段から前記第2認証情報入力手段への切り替えが前記認証情報入力端末切替手段により実行された場合に、前記第1端末の利用者に関して入力インターフェイスより取得した、利用時刻情報、利用場所情報、利用者の身体的な情報、利用取引情報のいずれか1つ以上の情報を通知するものであることとすれば好適である。
【0013】
また、本発明の不正取引防止システムは、前記第2通知手段が、前記第1端末と前記第2端末とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、前記通知を行うものであることとすれば好適である。
【0014】
また、本発明の不正取引防止システムは、前記第2端末が、前記第2端末の所有者からの入力を受け付ける第2入力手段を備え、前記第2入力手段が、前記第1端末で処理中の前記サービスの提供承認指示を受付ける承認手段と、前記サービスの提供中止指示を受付ける第1中止手段と、次機会以降も前記サービスの提供を中止する指示を受け付ける第2中止手段と、前記サービスの提供中止に伴って所定の連絡先に所定内容の通報をする旨の指示を受け付ける第3中止手段のいずれか1つ以上の選択受付手段を備えることとすれば好適である。
【0015】
また、本発明の不正取引防止システムにおいて、前記第2入力手段は、前記第2認証情報入力部から入力された第2認証情報に基づく本人確認により本人確認ができた場合に、前記選択受付手段を通じた指示受付を実施するものであることとすれば好適である。
【0016】
また、本発明の不正取引防止システムは、前記第1端末が、利用者への通知を行うための第1通知手段を備え、前記第1通知手段は、前記第2入力手段において前記第1中止手段、前記第2中止手段、前記第3中止手段のいずれかに指示がなされたかを問わず、同一内容の所定通知を行うものであることとすれば好適である。
【0017】
また、本発明の不正取引防止システムにおいて、前記第1端末は、前記第2入力手段を通して所定時間内に入力がなかった場合に、前記第1入力手段で入力された取引情報を前記媒体に記憶し、当該媒体に基づく次の利用機会において、前記媒体に記憶された前記取引情報を読み出して、前記第1入力手段において前回の利用機会と同じ取引情報を入力済みとするものであることとすれば好適である。
【0018】
また、本発明の不正取引防止システムは、前記第1認証情報入力手段で入力された第1認証情報を照合するための登録済み第1認証情報を格納し、前記第1端末および前記第2端末と通信可能な第1端末管理装置を備え、前記第1端末管理装置が、前記第2端末より転送される、前記第2認証情報入力手段で入力された第1認証情報を受信し、当該第1認証情報と前記登録済み第1認証情報とを照合するものであることとすれば好適である。
【0019】
また、本発明の不正取引防止システムは、前記第2端末および第1端末管理装置が、前記第2端末と前記第1端末管理装置とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、データ通信を行うものであることとすれば好適である。
【0020】
また、本発明の端末装置は、認証情報の入力を受付ける第1認証情報入力手段を備え、前記認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する端末装置であって、認証情報の入力を受付けるに際し前記第1認証情報入力手段、または当該端末装置と通信可能な第2端末が備える第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を当該端末装置と前記第2端末とで切り替え可能な、認証情報入力端末切替手段を有する。
【0021】
その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面により明らかにされる。
【0022】
本発明によれば、以下のような効果を奏する。本発明の不正取引防止システムによれば、ATMで代理人取引を行う場合にも、前記認証情報入力端末切替手段が、前記第2端末の備える前記第2認証情報入力手段で第2認証情報を入力するように切り替えて本人確認を行うため、前記代理人を事前に登録することなく、かつ前記代理人に認証情報を教えるあるいは渡すことなく安全に代理人取引を行うことができる。
【0023】
また、前記ATMの備える第1認証情報入力手段で第1認証情報を入力することを、キーパッド装置のなりすましやATMでの盗聴といったセキュリティ上の理由から敬遠する者にとって、前記第2端末の備える第2認証情報入力手段に切り替えて第2認証情報を入力することができる。これにより、キーパッド装置のなりすましやATMでの盗聴による第1認証情報の漏洩を防ぐことができる。
【0024】
また、本発明の不正取引防止システムによれば、前記キャッシュカードを偽造し本人になりすまして前記ATMで取引を行う者がいたとしても、前記本人の所有する第2端末に迅速に通知することができる。これにより不正取引の抑止効果を高めることができる。
【0025】
また、本発明の不正取引防止システムによれば、代理人取引の場合に前記代理人になりすまして前記ATMで取引を行おうとしても、前記本人の承認を得なければ取引を行うことができない。さらに、前記本人は前記第2端末の前記第2通知手段に通知される利用者情報を参照することで、代理人かどうかを確実にチェックすることができる。これにより代理人のなりすましを防止し、安全に代理人取引を行うことができる。
【0026】
さらに、前記第2入力手段で処理中の取引を中止する指示を選択した時にも、どの理由で取引が中止されたかを前記第1端末の利用者に悟られないようにすることができる。例えば、警察に通報することを指示した場合にも、前記第1端末の利用者に逃走されてしまうといった要因を減らすことができる。
【0027】
また、本発明の不正取引防止システムによれば、紛失や盗難の起こりやすい前記媒体に前記第1認証情報を格納しないため、前記媒体の紛失や盗難による前記第1認証情報の漏洩を防ぐことができる。
【発明の効果】
【0028】
本発明によれば、ATMにおける代理人取引に際し、事前の代理人登録を不要として、かつ安全な代理人取引が可能となる。
【発明を実施するための最良の形態】
【0029】
−−−実施例1−−−
以下、本発明の第1の実施形態を図面を参照しつつ詳細に説明する。第1実施例における不正取引防止システム100の全体を説明するシステム構成図を図1に示す。ここで、本実施例1において想定する状況につき概説しておく。本人10は金融機関で口座を開設した名義人本人であり、前記本人10は金融機関の発行したキャッシュカード20(媒体)を所有し、ATM30(第1端末もしくは端末装置)で取引(払い戻し、振込み、キャッシングなど)を行う。前記ATM30は、前記本人10が前記ATM30で取引する時には第1認証情報入力部31で認証情報の入力を受付ける。一方、本人以外11が前記ATM30で取引する時には、携帯端末40(第2端末)の備える第2認証情報入力部41で本人10が認証情報の入力を行うように、前記ATM30は、認証情報入力端末切替手段32にて認証情報の入力端末を切り替える処理を実行し、本人確認を実施する。また、前記携帯端末40の備える前記第2認証情報入力部41で認証情報の入力を受付ける時には、前記携帯端末40がホスト50と通信して処理を行う。前記本人確認の処理が完了すると、前記ATM30は前記ホスト50と通信して各種の取引を行う。なおGPS衛星60は、第1実施例では利用しない。
【0030】
最初に前記不正取引防止システム100を構成する前記ATM30のブロック図について図2を使って、また、前記携帯端末40のブロック図について図3を使って、更に、前記キャッシュカード20と前記ホスト50と前記携帯端末40が保持するデータについて図4を使って説明する。
【0031】
図2は、前記ATM30のブロック図と外観を説明した図である。前記ATM30は、適宜な電源部(図示せず)から電力を得て、CPU301が後述するメモリ302、記憶装置303、ホスト通信部304、カメラ310、カード読み書き部311、表示部312、操作部313、キャッシュモジュール部314を、バス305を通じて制御する。そしてこのATM30は、前記本人10あるいは前記本人以外11に各種の取引サービスを提供する端末である。
【0032】
前記メモリ302は、前記CPU301が実行する処理プログラムをロードする主記憶である。また、前記記憶装置303は、電力が供給されなくてもデータを残すことのできるHDD(Hard Disk Drive)といった装置である。また、前記ホスト通信部304は、TCP/IPあるいは独自のプロトコルを利用して専用線あるいはISDN線などの適宜な通信路140で接続された前記ホスト50と通信する装置である。前記専用線あるいはISDN線などで接続された前記通信路140は、盗聴、改ざん、なりすましの対策が施されたものとなる。
【0033】
また、前記カメラ310は、前記ATM30の前に立つ者の顔を撮影し画像データを出力する装置である。また、前記カード読み書き部311は、前記キャッシュカード20の保持するデータを読み取る装置である。また、前記表示部312は、ディスプレイによる表示やフリッカランプによる点灯を行う装置である。また、前記操作部313は、暗証番号や取引額を入力するためのキーパッドあるいは、取引の種類などを指示するための各種ボタン、前記ディスプレイと同じ見た目をもつタッチパネル、さらには、前記本人10のバイオメトリクス情報を入力するためのバイオメトリクス装置といったものである。
【0034】
また、前記キャッシュモジュール部314は、出金あるいは入金のための紙幣や硬貨を保管すると共に、出金口あるいは入金口を備えて、前記本人10あるいは前記本人以外11の要求する取引に応じて紙幣や硬貨を前記出金口へと搬送あるいは入金口から搬入する装置である。
【0035】
なお、前記ホスト50は、処理プログラム51を有し、前記ATM30との通信や前記携帯端末40との通信といった各種の処理を行う。
【0036】
また、図1に示した前記第1認証情報入力部31および前記認証情報入力端末切替部32は、前記記憶装置303に保持される実行可能プログラムであり、必要に応じて前記メモリ302にロードされることで前記CPU301がさまざまな制御を実現する。
【0037】
次に、携帯端末40について説明する。図3は、前記携帯端末40のブロック図および外観を説明した図である。前記携帯端末40は、適宜なバッテリ(図示せず)から電力を得て、制御部401が後述するGPS受信部402、携帯通信部403、メモリ404、記憶装置405、音声部(図示せず)、表示部411、操作部412、セキュリティチップ413を、バス406を通じて制御することで、音声通話端末あるいは情報入力端末として機能する小型かつ軽量で携帯可能な端末である。
【0038】
この携帯端末40における前記GPS受信部402は、前記GPS衛星60(図1参照)の発信する電波を受信する装置である。また、前記携帯通信部403は、特定周波数の電波を使って、基地局(図示せず)と通信する装置である。また、前記メモリ404は、前記制御部401が実行する処理プログラムをロードする主記憶である。また、前記記憶装置405は、電力が供給されなくてもデータを残すことのできるフラッシュメモリといった記憶装置である。また、前記音声部は、マイクやスピーカといった装置である。
【0039】
また、前記表示部411は、ディスプレイといった装置である。また、前記操作部412は、数字ボタンや通話ボタンといった各種ボタン、十字キー、ジョグダイアル、さらにはバイオメトリクス情報を読み取るためのバイオメトリクス装置といった装置である。また、前記セキュリティチップ413は、耐タンパ性を備えた記憶装置であり、通信路の暗号化やデジタル署名を行うための電子署名書の保持や、本人確認を行うための認証情報の保持、さらに通信内容の暗号化・復号化をハードウェアで高速に行うといった機能をもつ装置である。なお、第1実施例では、前記GPS受信部402は使用しない。
【0040】
なお、図1に示した前記第2認証情報入力部41は、前記記憶装置405に保持されるプログラムであり、前記メモリ404にロードされることで前記制御部401がさまざまな制御を実現する。
【0041】
図4は、前記携帯端末40の前記セキュリティチップ413が保持するデータと、前記不正取引防止システム100が利用する、前記キャッシュカード20および前記ホスト50とについて説明した図である。
【0042】
一例として、前記キャッシュカード20の最適な実施形態はICカードがあげられる。前記キャッシュカード20はデータとして、前記本人10を一意に特定するための銀行コード、支店コード、科目コード、口座番号といったデータを総称した口座ID521と、前記本人10の本人確認に利用する第1認証情報522と、前記本人以外11が前記ATM30で入力した取引情報を一時的に保持するためのリトライ用データ523とを保持する。前記第1認証情報522としては、例えばバイオメトリクス情報(指紋、静脈、顔、虹彩、声紋、筆跡など)を使うことが挙げられる。
【0043】
また、前記携帯端末40の前記セキュリティチップ413は、データとして、前記ホスト50から送られる署名付きメールの正当性を検証するために使う、メール署名検証データ541と、前記ホスト50と前記携帯端末40とがSSL通信する時に前記ホスト50が前記携帯端末40を認証するのに使うクライアント証明書542とを保持する。また更に前記セキュリティチップ413は、データとして、前記ホスト50から送信されるサーバ証明書551(後述)の正当性を検証するために使うサーバ証明書検証データ543と、前記本人10の本人確認に利用する第2認証情報544とを保持する。なお、前記セキュリティチップ413は耐タンパ性を備えており、これらのデータは所定の許可を得ない限り、読み書きができないようになっている。
【0044】
また、前記ホスト50はデータとして大きく分けて4種類のデータを持つ。前記ホスト50は、1種類目のデータとして、前記携帯端末40と前記ホスト50との安全な通信路を確立するためのデータを保持する。前記ホスト50は、前記ホスト50と前記携帯端末40とがSSL通信する時に、前記携帯端末40が前記ホスト50を認証するのに使うサーバ証明書551と、前記ホスト50から前記携帯端末40にメールを送信するときにメールを署名するために使うメール署名データ552を保持する。
【0045】
また、前記ホスト50は、2種類目のデータとして、金融機関の名義人に関するデータを保持する。前記ホスト50は、金融機関の名義人を一意に特定するための口座ID553と、前記名義人の所有する前記携帯端末40のメールアドレスを記憶する携帯端末アドレス554と、前記携帯端末40と前記ホスト間でSSL通信するときに前記ホスト50が前記携帯端末40を認証するのに使うクライアント証明書検証データ555と、前記名義人の口座を凍結するかどうかを決めるBOOL値を持つ凍結フラグ556と、前記名義人の届け出た印鑑を登録するための届出印データ557とを保持する。なおこれらのデータ553〜557は、金融機関の口座を開設した名義人の数だけ存在する。
【0046】
また、前記ホスト50は、3種類目のデータとして、金融機関の設置する前記ATM30に関するデータを保持する。前記ホスト50は、前記ATM30を識別するために付与されるATM端末ID558と、前記ATM端末ID558で識別される前記ATM30の設置場所(例えば、緯度と経度、あるいは付近の地図)に関する端末設置データ559とを保持する。なおこれらのデータ558〜559は、金融機関の保有する前記ATM30の台数分だけ存在する。
【0047】
また、前記ホスト50は、4種類目のデータとして、前記本人以外11が前記ATM30で取引情報を入力し、前記本人10が前記携帯端末40で前記取引を承認したときに、前記取引を承認した証拠となるデータを保持する。前記ホスト50は、前記取引が行われた日付と時間を示す取引日時560と、前記取引の口座を特定する口座ID561と、前記ATM30で入力された取引情報を示す取引データ562と、前記携帯端末40からの承認を確かに受けたことを示す承認データ563とを保持する。なおこれらのデータ560〜563は、金融機関の所有する前記ATM30で取引が行われた回数分だけ存在する。
【0048】
次に、前記不正取引防止システム100を導入後における、前記ATM30の利用ライフサイクルについて、図5を使って説明する。ここで前記本人10は、まず金融機関で口座を開設すると(フェーズ201)、前記ATM30で取引が可能な状態となる(フェーズ202)。しかし前記ATM30で正常な取引が行えなくなるといった状態もあり得る。前記携帯端末40の機種変更を行ったとき(フェーズ204)、前記携帯端末40の例えばメールアドレスを変更したとき(フェーズ205)、前記第1認証情報522を変更したとき(フェーズ206)、前記第2認証情報544を変更したとき(フェーズ207)、前記本人10が一時的に口座を使えなくする凍結を行ったとき(フェーズ208)、キャッシュカードの盗難・紛失によりキャッシュカードを再発行するとき(フェーズ209)、金融機関の統廃合といった時に口座が移設されたとき(フェーズ210)がそれにあたる。また、前記本人10が口座を解約する(フェーズ203)と、解約後に前記本人10はATMで取引できなくなる。
【0049】
これらのフェーズ201〜210のすべてについて、以降フェーズごとに分けて第1実施例における処理の流れを説明する。
【0050】
1.口座の開設フェーズ:
前記フェーズ201に示した口座の開設時には、金融機関は図4に示したデータをもつ前記キャッシュカード20の発行と、前記携帯端末40の前記セキュリティチップ413へのデータ書き込みと、前記ホスト50の保持するデータの追加を行う。
【0051】
金融機関は、前記口座の開設を申し込んだ者に前記口座ID553を割り当て、前記口座ID553と同じデータを前記キャッシュカード30の前記口座ID521にカードライタを使って書き込む。さらに名義人となる本人10に例えばバイオメトリクス情報をバイオメトリクス装置(図示せず)から登録してもらい、前記第1認証情報522にカードライタを使って書き込む。
【0052】
また金融機関は、前記携帯端末40の前記セキュリティチップ413に、前記メール署名データ552で署名したメールを検証するための前記メール署名検証データ541と、前記ホスト50が前記携帯端末40を認証するために利用する前記クライアント証明書542と、前記携帯端末40が前記ホスト50を認証するために利用する前記サーバ証明書検証データ543とを専用装置(図示せず)を使って書き込む。こうして書き込まれたデータ541〜543は、前記セキュリティチップ413の持つ機能により、金融機関の許可を得ない限り変更できないようになっている。
【0053】
さらに金融機関は、前記ホスト50の保持するデータとして、前記本人10の前記携帯端末40のメールアドレスを前記携帯端末アドレス554に登録し、前記携帯端末40を認証するために利用する前記クライアント証明書検証データ555を登録し、また前記本人10に届出印を提出してもらい、届出印データ557に登録する。
【0054】
2.ATMでの取引:
前記フェーズ202に示したATMでの取引可能状態では、口座を開設した前記本人10あるいは前記本人以外11のいずれも前記ATM30で取引することができる。前記ATM30における詳細な処理の流れについて図6〜図9を使って説明する。
【0055】
前記ATM30は、図8に示す画面800を前記表示部312に表示して、取引を待ち受ける(ステップ601)。本人が現金引き出しを行うときには「お引き出し」ボタン801を押下し、本人以外が現金引き出しを行うときには「代理人で引き出し」ボタン802を押下すれば良いようになっている。どのボタンが押下されたかについては、前記ATM30の前記メモリ302に保持する。以下では本発明の特徴的な処理となる、前記二つのボタンのいずれかが押下された時の処理に限定して説明する。
【0056】
前記「お引き出し」ボタン801が押下された場合も、前記「代理人で引き出し」ボタン802が押下された場合も、前記ATM30は、前記表示部312に画面810を表示し、前記キャッシュカード20の挿入を要求する。前記キャッシュカード20が前記カード読み書き部311に挿入されると、ATM30は、前記キャッシュカード20の前記口座ID521を読み取る(ステップ602)。
【0057】
前記ATM30は、前記ホスト通信部304を通じて前記ホスト50に問合せを行う。一方、この問合わせに対応する前記ホスト50の前記処理プログラム51は、前記口座ID521と一致する前記口座ID553を検索し、前記凍結フラグ556がONであるかどうかを確認する(ステップ603)。もし凍結(フラグがON)されていたら、前記処理プログラム51は前記ATM30に取引を中止するメッセージを返す。他方、このメッセージを受けた前記ATM30は、画面880を表示して処理中の取引を中止し、前記キャッシュカード20を返却する。
【0058】
また、前記認証情報入力端末切替部32は、前記メモリ302の保持する前記押下ボタンに関するデータを参照し、本人による取引(前記ボタン801を押下)か、本人以外による取引(前記ボタン802を押下)かに応じて処理を切り替える(ステップ604)。
【0059】
本人による取引の場合、前記第1認証情報入力部31は、画面820を前記表示部312に表示し、前記本人10に認証情報を前記操作部313に入力するよう要求する(ステップ605)。
【0060】
認証情報の入力が完了すると、前記第1認証情報入力部31は、前記カード読み書き部311を通じて前記キャッシュカード20から前記第1認証情報522を読み取り、入力された認証情報との照合を行う(ステップ606)。この照合により、もし本人でないと判定すれば、前記ATM30は、画面880を表示して実行中の取引を中止し、前記キャッシュカード20を返却する。
【0061】
一方、前記照合により、もし本人だと判定すれば、前記ATM30は、画面830を表示し、前記本人10に前記操作部313から取引情報を入力することを要求する(ステップ607)。
【0062】
前記取引情報の入力が完了すると、前記ATM30は、利用者からの要求内容に従って前記ホスト50の前記処理プログラム51と通信を行って口座の残高確認等を行い、前記キャッシュモジュール部314からの現金受け渡し、画面840の表示を実行し、取引を完了する(ステップ608)。
【0063】
次に、前記認証情報入力端末切替部32が前記ステップ604で本人以外による取引と判定した時の処理について説明する。
前記ステップ604において、前記認証情報入力端末切替部32が本人以外の取引と判定した時には、前記ATM30は、前記キャッシュカード20の前記リトライ用データ523を読み取り、もしクリアされていれば前記本人以外11に前記操作部313から取引情報を入力することを要求する画面850を前記表示部312に表示する。もし前記リトライ用データ523がクリアされていなければ、前記リトライ用データ523をもとに取引情報を入力済みの状態とした画面860を前記表示部312に表示する(ステップ609)。
【0064】
前記ステップ609が完了すると続いて、前記ATM30は、前記表示部312に画面870を表示すると共に、前記本人10に前記携帯端末40を使って取引を承認してもらう処理を行う(ステップ610)。前記ステップ610については図7を使って説明する。
【0065】
前記ATM30は、取引に関する前記口座ID521、前記ATM30で取引を行った日付と日時、前記ATM30に割り当てられたATM端末ID、前記ATM30の前記カメラ310で撮影した前記ATM30の前に立つ者の顔写真、および前記本人以外11が前記ATM30に入力した取引情報を前記ホスト50に送信する(ステップ701)。
【0066】
前記処理プログラム51は、前記口座ID521に一致する前記口座ID553を検索し、該当する前記携帯端末アドレス554を検索し、前記携帯端末40宛てにメールを送信する。前記メールは、前記ステップ701で前記ホスト50が受信したデータと、さらに前記ATM端末ID558を検索して得られる前記ATM30の設置場所データ559のデータとを組み合わせた内容を本文に持つものである。前記処理プログラム51は前記メールを、前記メール署名データ552を使って署名してから前記携帯端末40に送信する(ステップ702)。
【0067】
前記携帯端末40は、前記署名付きメールを受信すると、前記メール署名検証データ541を使って前記署名を検証し、正しいホストから送信されたメールかどうかをチェックする(ステップ703)。正しいホストからのメールであれば、前記携帯端末40は図9に示す画面900を前記表示部411に表示する。正しいホストからのメールでなければ前記署名付きメールの着信を無視する。
【0068】
前記本人10は、前記携帯端末40の前記操作部412で操作し、画面910に示すように着信メール一覧から「代理人取引の承認願い」メールの件名911を選択する。前記メール911が選択されると、前記携帯端末40は画面920に示すようなATM取引詳細に関するメール内容を表示する(ステップ704)。
【0069】
前記本人10は前記操作部412で操作し、前記画面920に示すメール本文中のアドレス921をクリックする。前記アドレス921がクリックされると、前記携帯端末40は、前記ホスト50とSSL通信を確立する処理を行うため、前記クライアント証明書542を前記ホスト50に送信する。前記クライアント証明書542を受信した前記ホスト50は、前記クライアント証明書検証データ555を使って前記携帯端末40を認証する(ステップ705)。
【0070】
つづいて、前記処理プログラム51は、前記サーバ証明書551を前記携帯端末40に送信する。前記サーバ証明書551を受信した前記携帯端末40は、前記サーバ証明書検証データ543を使って前記ホスト50を認証する(ステップ706)。
【0071】
前記ステップ705かつ前記ステップ706の相互認証が完了すると、前記第2認証情報入力部41は、画面930を前記表示部411に表示し、前記本人10に認証情報を前記操作部412から入力することを要求する(ステップ707)。
【0072】
前記本人10が認証情報を入力すると、前記第2認証情報入力部41は、前記第2認証情報544と照合を行う(ステップ708)。もし本人でないと判定すると、前記ホスト50へと取引を中止するメッセージを送る。
【0073】
前記ステップ708で本人であると判定すると、前記ホスト50は前記携帯端末40に代理人取引を承認するWebページを送信する。一方、前記携帯端末40は、Webブラウザを起動して前記表示部411に前記Webページに基づく画面940を表示する(ステップ709)。
【0074】
前記本人10は、前記画面940を見ながら前記操作部412で操作し、代理人取引に対する処理をボタン941〜944を押下することで決定する(ステップ710)。
なお、前記画面940における「取引を許可する」ボタン941が押下されると、前記携帯端末40は、前記ホスト50に取引を許可するメッセージを送信する。さらに前記処理プログラム51は、前記携帯端末40の前記表示部411に画面950を表示する(ステップ711)。
また、「取引を中止する」ボタン942が押下されると、前記携帯端末40は、前記ホスト50に取引を中止するメッセージを送信する。さらに前記処理プログラム51は、前記表示部411に画面960を表示する(ステップ712)。
また、「警察に通報する」ボタン943が押下されると、前記携帯端末40は、前記ホスト50に警察に通報するメッセージを送信する。さらに前記表示部411に画面970を表示する。また前記処理プログラム51は、前記メッセージを受け取ると警察に通報する(ステップ713)。
また、「口座を凍結する」ボタン944が押下されると、前記携帯端末40は、前記ホスト50に口座を凍結するメッセージを送信する。さらに前記表示部411に画面980を表示する。また前記処理プログラム51は、前記メッセージを受け取ると、前記凍結フラグ556をONにする(ステップ714)。
【0075】
なお、前記ステップ702において、前記処理プログラム51は、前記ATM30から送信された端末IDをもとに前記端末設置データ559を取得すると述べたが、あるいは前記端末設置データ559を前記ATM30の前記記憶装置303が保持し、前記ATM30が前記ホスト50に送信するものであっても良い。ただし、前記ATM30と前記ホスト50との通信路を流れるトラフィック量の点からすると、前記ホスト50が前記端末設置データ559を保持する方法が最適である。
【0076】
以上のステップ701〜ステップ714が完了すると、ふたたび前記ATM30での処理に戻る。図6を使ってATM取引の処理の続きを説明する。
【0077】
前記ATM30は、前記ステップ610の処理が所定時間内に完了するかどうかをチェックする(ステップ611)。もしタイムアウトであれば、前記ATM30は前記キャッシュカード20の前記リトライ用データ523に前記ATM30に入力されたデータを書き込み(ステップ615)、実行中の取引を中止し前記表示部312に画面880を表示すると共に、前記キャッシュカード20を返却する。所定時間内に前記ステップ610の処理が完了すれば、前記キャッシュカード20の前記リトライ用データ523のデータをクリアする(ステップ612)。
【0078】
さらに、前記ATM30は、前記ステップ610からの承認結果が取引を許可するものかどうかをチェックする(ステップ613)。なお、前記ステップ611で取引を許可する以外の結果である時には、前記ATM30は、実行中の取引を中止し前記表示部312に画面880を表示すると共に、前記キャッシュカード20を返却する。
【0079】
他方、前記ステップ613で取引を許可する結果である時には、前記ATM30は、前記本人10から承認を受けて取引を行った証拠となるデータとして、図4に示す前記取引日時560、前記口座ID561、前記取引データ562、前記承認データ563を前記ホスト50に記録する(ステップ614)。
【0080】
最後に、前記ATM30は、前記ステップ608と同様に前記ホスト50と通信して取引を実施する。以上で、ATMでの取引が完了する。
【0081】
なお前記ステップ605では、前記キャッシュカード20から前記第1認証情報522を読み取り前記ATM30内で照合を行う方法としたが、あるいは、前記キャッシュカード20は論理回路を有する構成であっても良い。前記キャッシュカード20が論理回路を有する場合には、前記操作部313から入力された認証情報を前記キャッシュカード20に送信し、前記論理回路で照合を行う方法をとる。
【0082】
3.携帯端末の機種変更:
前記フェーズ204で述べたように、前記本人10が前記携帯端末40を別の機種に変更する時には、新しい携帯端末と前記キャッシュカード20を持って金融機関に赴き、前記口座の開設時に行ったのと同じように、図4に示す前記メール署名検証データ541、前記クライアント証明書542、前記サーバ証明書検証データ543を前記セキュリティチップ413に書き込むことを行う。
金融機関は、前記第1認証情報522を使って本人確認を行い、第3者による不正な機種変更ではないことを確認してから、新しい前記携帯端末40の前記セキュリティチップ413にデータ541〜543を書き込む。
【0083】
なお、第3者による不正な機種変更ではないことを確認するために、前記本人10に届出印を持ってきてもらい、前記届出印データ557と照合して本人確認を行う方法もある。
また、古い携帯端末の前記セキュリティチップ413の保持するデータ541〜544は、前記セキュリティチップ413が耐タンパ性を備えているため、データを消去しなくても前記データが漏洩する可能性は小さい。
【0084】
4.携帯端末アドレスの変更:
前記フェーズ205で述べたように、前記本人10が所有する前記携帯端末40のアドレスを変更した時には、前記本人10は前記キャッシュカード20を持って金融機関に赴き、変更後のアドレスを届け出る。金融機関は、前記キャッシュカード20の前記第1認証情報522を使って本人確認を行い、第3者による不正なアドレス変更ではないことを確認してから、前記ホスト50の保持する前記携帯端末アドレス554のデータを書き換える。
なお第3者による不正なアドレス変更ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。
【0085】
5.第1認証情報の変更:
前記フェーズ206で述べたように、前記第1認証情報522を変更する場合、前記本人10は前記キャッシュカード20を持って金融機関に赴き、前記第1認証情報522のデータの書き換えを行う。金融機関は、変更前の前記第1認証情報522を使って本人確認を行い、第3者による不正な認証情報の変更ではないことを確認してから、前記第1認証情報522のデータを書き換える。
なお第3者による不正な認証情報の変更ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。
このような前記第1認証情報522の変更は、例えばバイオメトリクス情報を利用する場合、経年変化もあることから定期的に行うことが望ましい。例えば、クレジット機能付きキャッシュカードの場合には、クレジット機能の有効期限が終了するタイミングで前記第1認証情報522を変更することが挙げられる。
【0086】
6.第2認証情報の変更:
前記フェーズ207で述べたように、前記第2認証情報544を変更する場合、前記本人10は自己責任の下で前記携帯端末40の前記操作部412から前記第2認証情報544を変更することができる。前記携帯端末40は、変更前の前記第2認証情報544を使って本人確認を行い、第3者による不正な認証情報の変更ではないことを確認してから、前記第2認証情報544のデータを書き換える。
なお、このような第2認証情報544の変更は、例えばバイオメトリクス情報を利用する場合、経年変化もあることから定期的に行うことが望ましい。例えば、前記携帯端末40の機種変更とあわせて行うことが挙げられる。
【0087】
7.口座の凍結:
前記フェーズ208で述べたような口座の凍結は、例えば図7に示した前記ステップ714で行われる。口座の凍結を解除するには、前記本人10が前記携帯端末40から前記ホスト50に接続し、前記凍結フラグ556をOFFにすることを行う。前記凍結フラグ556をOFFにする前には、前記第2認証情報入力部41から前記本人10に認証情報を入力してもらい、前記第2認証情報544と照合して本人確認を行うことで、第3者による不正な口座の凍結解除でないことを確認してから、前記凍結フラグ556をOFFにする。前記本人10は、前記携帯端末40から口座の凍結を解除することができる。
【0088】
8.キャッシュカードの再発行:
前記フェーズ209で述べたように前記本人10が前記キャッシュカード20を再発行する時には、 前記携帯端末40を持って金融機関に赴き、再発行の手続きを行う。その時、金融機関は前記ホスト50の保持する前記携帯端末アドレス554に通知し、前記第2認証情報入力部41から前記本人10に認証情報を入力してもらい、前記第2認証情報544と照合して本人確認を行うことで、第3者による不正な再発行ではないことを確認し、前記キャッシュカード20を再発行する。
なお第3者による不正な再発行ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。例えば、前記携帯端末40も一緒に紛失あるいは盗難した場合には、本方法による本人確認を行う。
【0089】
9.口座の移設:
前記フェーズ210で述べたように、金融機関の統廃合により口座を移設する場合には、前記本人10は前記キャッシュカード20を持って金融機関に赴き、前記口座ID521のデータを書き換える。合わせて前記ホスト50の保持する前記口座ID553も書き換える。
【0090】
10.口座の解約:
前記フェーズ203で述べたように、前記本人10が口座を解約する時には、前記キャッシュカード20を持って金融機関に赴き、自身の口座を解約することを申し出る。金融機関は、前記第1認証情報522を使って本人確認を行い、第3者による不正な解約でないことを確認してから、前記口座ID521に対応する前記ホスト50上の前記口座ID553、前記携帯端末アドレス554、前記クライアント証明書検証データ555、前記凍結フラグ556、前記届出印データ557のデータを削除する。これにより以降、前記口座ID521に関する取引はできなくなる。
なお、第3者による不正な解約ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。
【0091】
以上述べてきた第1実施例の不正取引防止システム100により、本人以外がATM30で取引を行う場合にも、本人所有の携帯端末40に本人自身が第2認証情報を入力することで、本人確認を行い、ATM30の取引サービスを提供することができる。これにより、代理人取引の場合にも、事前に登録する必要なく、かつ前記代理人に第1認証情報を渡すことなく安全に代理人取引を行うことができる。
【0092】
また前記不正取引防止システム100は代理人取引を安全に行う以外にも、ATM30の備える第1認証情報入力部を利用する替わりに、携帯端末40の備える第2認証情報入力部を必ず使いたいという要求を満たすことにも利用できる。例えば、ATM30のキーパッド装置がなりすまされていたりATM上で盗聴が行われていたりすることを懸念して、前記第1認証情報入力部を使わずに、前記第2認証情報入力部を使いたいといった要求が考えられる。前記不正取引防止システム100はこのようなセキュリティに関する要求も満たすことができる。
【0093】
−−−実施例2−−−
第1実施例における前記認証情報入力端末切替部32は、本人による取引か本人以外による取引かを区別するために、図8に示す前記画面800上で押下されるボタンに応じて判定を実行した。本第2実施例における認証情報入力端末切替部32は、本人による取引か本人以外による取引かを、前記携帯端末40の現在位置が前記ATM30の設置場所と一致しているかどうかに応じて自動的に判定する。
【0094】
第2実施例におけるATM取引のフローチャートは、図6に示す前記ステップ601〜前記ステップ603までは共通である。ただし、前記ステップ601において前記表示部312に表示する画面800において、前記「代理人で引き出し」ボタン802はなくても良い。
【0095】
つづく前記認証情報入力端末切替部32が、認証情報の入力端末を切り替える処理について、図10を使って説明する。
図6の前記ステップ603で口座が凍結されていないことを確認すると、つぎに前記認証情報入力端末切替部32は、前記キャッシュカード20の前記口座ID521と前記ATM30に割り当てられた端末IDとを前記ホスト50に送信する(ステップ1001)。
前記ホスト50の前記処理プログラム51は、前記携帯端末アドレス554にダイアルし、前記携帯端末40に位置情報を返すように要求する(ステップ1002)。なお、前記前記携帯端末アドレス554は前述したメールアドレスに限らず、前記携帯端末40を発呼できるものであれば良い。
前記携帯端末40は、前記GPS衛星60の発信する電波を前記GPS受信部402で受けて、現在位置を算出する。算出した現在位置を前記ホスト50に返す(ステップ1003)。
【0096】
前記ホスト50の前記処理プログラム51は、前記ATM30から受けた現在位置の情報と、前記ATM端末ID558から検索して特定できる前記端末設置データ559とを比較する(ステップ1004)。比較により前記ATM30と前記携帯端末40との距離が所定のしきい値(例えば10m)未満であれば本人による取引と判定し、前記ステップ605へと続く処理を行う。前記しきい値以上であれば本人以外による取引と判定し、前記ステップ609へと続く処理を行う。前記しきい値は、どの場所にあるATMで取引しようとしているかが区別できるように、GPSを用いた位置特定の精度も考慮して決めれば良い。ただし、1つの場所に2台以上のATMが設置される場合には、どのATMによる取引であるのかまでを区別する必要はなく、どの場所で取引しようとしているかを区別できれば十分である。
【0097】
以上述べてきた第2実施例により、第3者がキャッシュカードを偽造してATMで取引する場合にも、本人の所有する携帯端末に確実に通知されるようになり、不正取引の抑止効果を高めることができる。
【0098】
−−−実施例3−−−
第1実施例における前記第1認証情報522は、前記キャッシュカード20が保持し、前記第2認証情報544は前記携帯端末40の前記セキュリティチップ413が保持する構成とした。第3実施例では、これらの認証情報の格納場所として前記ホスト50を利用する方法について説明する。
【0099】
図11に示すように、前記第1実施例での前記第1認証情報522および前記第2認証情報544の格納場所は、同図において示す“(a)”欄1101の構成をとる。しかし、前記キャッシュカード20は携帯可能であるため盗難や紛失の機会が大きく、また前記キャッシュカード20が磁気カードの場合にはスキミングの被害に会いやすく、前記キャッシュカード20の中に前記第1認証情報を522保持しておくことは、前記第1認証情報522が漏洩する一因にもなりえる。
【0100】
そこで図11の“(b)”欄1102に示すように、前記第1認証情報522を前記ホスト50に保持する方法がある。前記(b)の構成では、前記認証情報入力端末切替部32が前記第1認証情報入力部31に切り替えた時には、前記第1認証情報入力部31から入力された第1認証情報を前記ホスト50に転送し、前記ホスト50で前記第1認証情報522と照合することで本人確認を行う。また前記認証情報入力端末切替部32が前記第2認証情報入力部41に切り替えた時には、前記第2認証情報入力部41から入力された第1認証情報を前記ホスト50に転送し、前記ホスト50で前記第1認証情報522と照合することで本人確認を行う。
【0101】
以上述べてきた第3実施例により、紛失や盗難の発生可能性の高いキャッシュカードに前記第1認証情報を置かずにホストに前記第1認証情報を置く構成とすることで、紛失や盗難による前記第1認証情報の漏洩を防止することができる。
【0102】
以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
【図面の簡単な説明】
【0103】
【図1】本実施形態における不正取引防止システムのシステム構成図である。
【図2】本実施形態におけるATMのブロック図と外観を説明した図である。
【図3】本実施形態における携帯端末のブロック図と外観を説明した図である。
【図4】本実施形態における不正取引防止システムの各装置が保持するデータの説明図である。
【図5】本実施形態における不正取引防止システム導入後のATM利用ライフサイクルを示す図である。
【図6】本実施形態における不正取引防止システムのATM取引のフローチャート図である。
【図7】本実施形態における本人による承認手続きのフローチャート図である。
【図8】本実施形態の不正取引防止システムにおけるATMでの表示例を示す図である。
【図9】本実施形態の不正取引防止システムにおける携帯端末での表示例を示す図である。
【図10】第2実施例における認証情報入力端末切替部のフローチャート図である。
【図11】本実施形態における認証情報を格納する場所の変形例を説明する図である。
【符号の説明】
【0104】
10 本人 11 本人以外
20 キャッシュカード(媒体) 30 ATM(第1端末もしくは端末装置)
31 第1認証情報入力部 32 認証情報入力端末切替部
40 携帯端末(第2端末) 41 第2認証情報入力部
50 ホスト 51 処理プログラム
60 GPS衛星 100 不正取引防止システム
301 CPU 302 メモリ
303 記憶装置 304 ホスト通信部
305 バス 310 カメラ
311 カード読み書き部 312 表示部
313 操作部 314 キャッシュモジュール部
401 制御部 402 GPS受信部
403 携帯通信部 404 メモリ
405 記憶装置 406 バス
411 表示部 412 操作部
413 セキュリティチップ 521 口座ID
522 第1認証情報 523 リトライ用データ
541 メール署名検証データ 542 クライアント証明書
543 サーバ証明書検証データ 544 第2認証情報
551 サーバ証明書 552 メール署名検証データ
553 口座ID 554 携帯端末アドレス
555 クライアント証明書検証データ 556 凍結フラグ
557 届出印データ 558 ATM端末ID
559 端末設置データ 560 取引日時
561 口座ID 562 取引データ
563 承認データ
【技術分野】
【0001】
本発明は、不正取引防止システムおよび端末装置に関し、特に、金融機関などに設置されるATM(現金自動預け払い機)における本人確認のセキュリティ技術に関する。
【背景技術】
【0002】
金融機関やコンビニエンスストアなどに設置されるATMは、一般人の生活にとって欠くことのできないものとなっている。利用者がATMで取引する時には、知識(暗証番号)と所持品(キャッシュカード)を利用して本人確認を行い、本人であることが確認されると口座の取引(払い戻し、振込み、キャッシングなど)を行えることが知られている。
【0003】
また、非特許文献1によると、本人確認にバイオメトリクス情報を利用するATMも実用化されている。さらに特許文献1によると、利用者が携帯端末に暗証番号と取引情報を事前に入力しておきATMに携帯端末をかざすだけで、携帯端末とATM間で非接触の近距離通信が行われ、迅速に取引できることが述べられている。
【0004】
ところで、ATMで取引する者は本人に限らず、本人以外の代理人による取引のニーズもある。特許文献2には、本人が代理人に現金の引き出しの機会を提供したい場合もあることが述べられている。
【0005】
非特許文献2によれば、バイオメトリクス情報で本人確認を行うATMでは、本人以外の代理人のバイオメトリクス情報をあらかじめ登録しておけば、代理人もATMで取引することができることが述べられている。
【特許文献1】特開2001−297198号公報
【特許文献2】特開2004−303057号公報
【非特許文献1】Mitsubishi Tokyo Financial Group、Inc.、The Bank of Tokyo−Mitsubishi、Ltd.、「Launch of "Super IC Card Tokyo−Mitsubishi VISA"」、[online]、平成16年9月22日、東京三菱銀行、[平成17年1月17日検索]、インターネット<URL:http://www.btm.co.jp/english/press/news2004/pdf/news212e.pdf>
【非特許文献2】東京三菱銀行、『スーパーICカード「東京三菱―VISA」ご注意事項』、[online]、平成16年10月、東京三菱銀行、[平成17年1月17日検索]、インターネット<URL:http://www.btm.co.jp/tsukau/card/visa/ryui.htm>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、知識や所持品を利用した本人確認では、知識の聞き出しや類推、所持品の盗難や偽造によるなりすましを防止することができない。また、バイオメトリクス情報を利用した本人確認において代理人取引を行うには、事前の登録が必要となり、利便性が低下する。また携帯端末に事前入力する前記特許文献1の方法では、代理人取引の時には携帯端末ごと代理人に渡す必要があり、セキュリティが低下してしまう。
【0007】
そこで本発明は、ATMにおける代理人取引に際し、事前の代理人登録を不要として、かつ安全な代理人取引を可能とする、不正取引防止システムおよび端末装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の不正取引防止システムは、事前に代理人を登録することなく、かつ安全に代理人取引が行うという目的を、本人による取引時にはATMの備える第1認証情報入力部で認証情報を入力し、本人以外による取引時には本人所有の携帯端末の備える第2認証情報入力部で認証情報を入力するように、認証情報入力端末切替手段が認証情報の入力端末を切り替えて本人確認を行うことで実現した。
【0009】
上記課題を解決する本発明の不正取引防止システムは、第1認証情報の入力を受付ける第1認証情報入力手段を備え、前記第1認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する第1端末と、第2認証情報の入力を受付ける第2認証情報入力手段を備え、前記第1端末と通信可能な前記第2端末とを備えるシステムにおいて、前記第1端末が、認証情報の入力を受付けるに際し前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を前記第1端末と第2端末とで切り替える、認証情報入力端末切替手段を有する。
【0010】
また、本発明の不正取引防止システムは、前記第1端末が、利用者からの入力を受け付ける第1入力手段を備え、前記第1入力手段が、前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを認証情報入力に用いる旨の選択を受け付け、前記認証情報入力端末切替手段が、前記選択に応じて認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることとすれば好適である。
【0011】
また、本発明の不正取引防止システムは、前記認証情報入力端末切替手段が、前記第2端末について取得した位置情報と、前記第1端末の設置場所と比較して、前記第1端末と前記第2端末との距離が所定範囲内である場合に前記第1認証情報入力手段を利用し、前記距離が所定範囲を超える場合に前記第2認証情報入力手段を利用すべく、認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることとすれば好適である。
【0012】
また、本発明の不正取引防止システムは、前記第2端末が前記第2端末の所有者への所定通知を行うための第2通知手段を備え、前記第2通知手段が、認証情報入力用の端末として前記第1認証情報入力手段から前記第2認証情報入力手段への切り替えが前記認証情報入力端末切替手段により実行された場合に、前記第1端末の利用者に関して入力インターフェイスより取得した、利用時刻情報、利用場所情報、利用者の身体的な情報、利用取引情報のいずれか1つ以上の情報を通知するものであることとすれば好適である。
【0013】
また、本発明の不正取引防止システムは、前記第2通知手段が、前記第1端末と前記第2端末とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、前記通知を行うものであることとすれば好適である。
【0014】
また、本発明の不正取引防止システムは、前記第2端末が、前記第2端末の所有者からの入力を受け付ける第2入力手段を備え、前記第2入力手段が、前記第1端末で処理中の前記サービスの提供承認指示を受付ける承認手段と、前記サービスの提供中止指示を受付ける第1中止手段と、次機会以降も前記サービスの提供を中止する指示を受け付ける第2中止手段と、前記サービスの提供中止に伴って所定の連絡先に所定内容の通報をする旨の指示を受け付ける第3中止手段のいずれか1つ以上の選択受付手段を備えることとすれば好適である。
【0015】
また、本発明の不正取引防止システムにおいて、前記第2入力手段は、前記第2認証情報入力部から入力された第2認証情報に基づく本人確認により本人確認ができた場合に、前記選択受付手段を通じた指示受付を実施するものであることとすれば好適である。
【0016】
また、本発明の不正取引防止システムは、前記第1端末が、利用者への通知を行うための第1通知手段を備え、前記第1通知手段は、前記第2入力手段において前記第1中止手段、前記第2中止手段、前記第3中止手段のいずれかに指示がなされたかを問わず、同一内容の所定通知を行うものであることとすれば好適である。
【0017】
また、本発明の不正取引防止システムにおいて、前記第1端末は、前記第2入力手段を通して所定時間内に入力がなかった場合に、前記第1入力手段で入力された取引情報を前記媒体に記憶し、当該媒体に基づく次の利用機会において、前記媒体に記憶された前記取引情報を読み出して、前記第1入力手段において前回の利用機会と同じ取引情報を入力済みとするものであることとすれば好適である。
【0018】
また、本発明の不正取引防止システムは、前記第1認証情報入力手段で入力された第1認証情報を照合するための登録済み第1認証情報を格納し、前記第1端末および前記第2端末と通信可能な第1端末管理装置を備え、前記第1端末管理装置が、前記第2端末より転送される、前記第2認証情報入力手段で入力された第1認証情報を受信し、当該第1認証情報と前記登録済み第1認証情報とを照合するものであることとすれば好適である。
【0019】
また、本発明の不正取引防止システムは、前記第2端末および第1端末管理装置が、前記第2端末と前記第1端末管理装置とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、データ通信を行うものであることとすれば好適である。
【0020】
また、本発明の端末装置は、認証情報の入力を受付ける第1認証情報入力手段を備え、前記認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する端末装置であって、認証情報の入力を受付けるに際し前記第1認証情報入力手段、または当該端末装置と通信可能な第2端末が備える第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を当該端末装置と前記第2端末とで切り替え可能な、認証情報入力端末切替手段を有する。
【0021】
その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面により明らかにされる。
【0022】
本発明によれば、以下のような効果を奏する。本発明の不正取引防止システムによれば、ATMで代理人取引を行う場合にも、前記認証情報入力端末切替手段が、前記第2端末の備える前記第2認証情報入力手段で第2認証情報を入力するように切り替えて本人確認を行うため、前記代理人を事前に登録することなく、かつ前記代理人に認証情報を教えるあるいは渡すことなく安全に代理人取引を行うことができる。
【0023】
また、前記ATMの備える第1認証情報入力手段で第1認証情報を入力することを、キーパッド装置のなりすましやATMでの盗聴といったセキュリティ上の理由から敬遠する者にとって、前記第2端末の備える第2認証情報入力手段に切り替えて第2認証情報を入力することができる。これにより、キーパッド装置のなりすましやATMでの盗聴による第1認証情報の漏洩を防ぐことができる。
【0024】
また、本発明の不正取引防止システムによれば、前記キャッシュカードを偽造し本人になりすまして前記ATMで取引を行う者がいたとしても、前記本人の所有する第2端末に迅速に通知することができる。これにより不正取引の抑止効果を高めることができる。
【0025】
また、本発明の不正取引防止システムによれば、代理人取引の場合に前記代理人になりすまして前記ATMで取引を行おうとしても、前記本人の承認を得なければ取引を行うことができない。さらに、前記本人は前記第2端末の前記第2通知手段に通知される利用者情報を参照することで、代理人かどうかを確実にチェックすることができる。これにより代理人のなりすましを防止し、安全に代理人取引を行うことができる。
【0026】
さらに、前記第2入力手段で処理中の取引を中止する指示を選択した時にも、どの理由で取引が中止されたかを前記第1端末の利用者に悟られないようにすることができる。例えば、警察に通報することを指示した場合にも、前記第1端末の利用者に逃走されてしまうといった要因を減らすことができる。
【0027】
また、本発明の不正取引防止システムによれば、紛失や盗難の起こりやすい前記媒体に前記第1認証情報を格納しないため、前記媒体の紛失や盗難による前記第1認証情報の漏洩を防ぐことができる。
【発明の効果】
【0028】
本発明によれば、ATMにおける代理人取引に際し、事前の代理人登録を不要として、かつ安全な代理人取引が可能となる。
【発明を実施するための最良の形態】
【0029】
−−−実施例1−−−
以下、本発明の第1の実施形態を図面を参照しつつ詳細に説明する。第1実施例における不正取引防止システム100の全体を説明するシステム構成図を図1に示す。ここで、本実施例1において想定する状況につき概説しておく。本人10は金融機関で口座を開設した名義人本人であり、前記本人10は金融機関の発行したキャッシュカード20(媒体)を所有し、ATM30(第1端末もしくは端末装置)で取引(払い戻し、振込み、キャッシングなど)を行う。前記ATM30は、前記本人10が前記ATM30で取引する時には第1認証情報入力部31で認証情報の入力を受付ける。一方、本人以外11が前記ATM30で取引する時には、携帯端末40(第2端末)の備える第2認証情報入力部41で本人10が認証情報の入力を行うように、前記ATM30は、認証情報入力端末切替手段32にて認証情報の入力端末を切り替える処理を実行し、本人確認を実施する。また、前記携帯端末40の備える前記第2認証情報入力部41で認証情報の入力を受付ける時には、前記携帯端末40がホスト50と通信して処理を行う。前記本人確認の処理が完了すると、前記ATM30は前記ホスト50と通信して各種の取引を行う。なおGPS衛星60は、第1実施例では利用しない。
【0030】
最初に前記不正取引防止システム100を構成する前記ATM30のブロック図について図2を使って、また、前記携帯端末40のブロック図について図3を使って、更に、前記キャッシュカード20と前記ホスト50と前記携帯端末40が保持するデータについて図4を使って説明する。
【0031】
図2は、前記ATM30のブロック図と外観を説明した図である。前記ATM30は、適宜な電源部(図示せず)から電力を得て、CPU301が後述するメモリ302、記憶装置303、ホスト通信部304、カメラ310、カード読み書き部311、表示部312、操作部313、キャッシュモジュール部314を、バス305を通じて制御する。そしてこのATM30は、前記本人10あるいは前記本人以外11に各種の取引サービスを提供する端末である。
【0032】
前記メモリ302は、前記CPU301が実行する処理プログラムをロードする主記憶である。また、前記記憶装置303は、電力が供給されなくてもデータを残すことのできるHDD(Hard Disk Drive)といった装置である。また、前記ホスト通信部304は、TCP/IPあるいは独自のプロトコルを利用して専用線あるいはISDN線などの適宜な通信路140で接続された前記ホスト50と通信する装置である。前記専用線あるいはISDN線などで接続された前記通信路140は、盗聴、改ざん、なりすましの対策が施されたものとなる。
【0033】
また、前記カメラ310は、前記ATM30の前に立つ者の顔を撮影し画像データを出力する装置である。また、前記カード読み書き部311は、前記キャッシュカード20の保持するデータを読み取る装置である。また、前記表示部312は、ディスプレイによる表示やフリッカランプによる点灯を行う装置である。また、前記操作部313は、暗証番号や取引額を入力するためのキーパッドあるいは、取引の種類などを指示するための各種ボタン、前記ディスプレイと同じ見た目をもつタッチパネル、さらには、前記本人10のバイオメトリクス情報を入力するためのバイオメトリクス装置といったものである。
【0034】
また、前記キャッシュモジュール部314は、出金あるいは入金のための紙幣や硬貨を保管すると共に、出金口あるいは入金口を備えて、前記本人10あるいは前記本人以外11の要求する取引に応じて紙幣や硬貨を前記出金口へと搬送あるいは入金口から搬入する装置である。
【0035】
なお、前記ホスト50は、処理プログラム51を有し、前記ATM30との通信や前記携帯端末40との通信といった各種の処理を行う。
【0036】
また、図1に示した前記第1認証情報入力部31および前記認証情報入力端末切替部32は、前記記憶装置303に保持される実行可能プログラムであり、必要に応じて前記メモリ302にロードされることで前記CPU301がさまざまな制御を実現する。
【0037】
次に、携帯端末40について説明する。図3は、前記携帯端末40のブロック図および外観を説明した図である。前記携帯端末40は、適宜なバッテリ(図示せず)から電力を得て、制御部401が後述するGPS受信部402、携帯通信部403、メモリ404、記憶装置405、音声部(図示せず)、表示部411、操作部412、セキュリティチップ413を、バス406を通じて制御することで、音声通話端末あるいは情報入力端末として機能する小型かつ軽量で携帯可能な端末である。
【0038】
この携帯端末40における前記GPS受信部402は、前記GPS衛星60(図1参照)の発信する電波を受信する装置である。また、前記携帯通信部403は、特定周波数の電波を使って、基地局(図示せず)と通信する装置である。また、前記メモリ404は、前記制御部401が実行する処理プログラムをロードする主記憶である。また、前記記憶装置405は、電力が供給されなくてもデータを残すことのできるフラッシュメモリといった記憶装置である。また、前記音声部は、マイクやスピーカといった装置である。
【0039】
また、前記表示部411は、ディスプレイといった装置である。また、前記操作部412は、数字ボタンや通話ボタンといった各種ボタン、十字キー、ジョグダイアル、さらにはバイオメトリクス情報を読み取るためのバイオメトリクス装置といった装置である。また、前記セキュリティチップ413は、耐タンパ性を備えた記憶装置であり、通信路の暗号化やデジタル署名を行うための電子署名書の保持や、本人確認を行うための認証情報の保持、さらに通信内容の暗号化・復号化をハードウェアで高速に行うといった機能をもつ装置である。なお、第1実施例では、前記GPS受信部402は使用しない。
【0040】
なお、図1に示した前記第2認証情報入力部41は、前記記憶装置405に保持されるプログラムであり、前記メモリ404にロードされることで前記制御部401がさまざまな制御を実現する。
【0041】
図4は、前記携帯端末40の前記セキュリティチップ413が保持するデータと、前記不正取引防止システム100が利用する、前記キャッシュカード20および前記ホスト50とについて説明した図である。
【0042】
一例として、前記キャッシュカード20の最適な実施形態はICカードがあげられる。前記キャッシュカード20はデータとして、前記本人10を一意に特定するための銀行コード、支店コード、科目コード、口座番号といったデータを総称した口座ID521と、前記本人10の本人確認に利用する第1認証情報522と、前記本人以外11が前記ATM30で入力した取引情報を一時的に保持するためのリトライ用データ523とを保持する。前記第1認証情報522としては、例えばバイオメトリクス情報(指紋、静脈、顔、虹彩、声紋、筆跡など)を使うことが挙げられる。
【0043】
また、前記携帯端末40の前記セキュリティチップ413は、データとして、前記ホスト50から送られる署名付きメールの正当性を検証するために使う、メール署名検証データ541と、前記ホスト50と前記携帯端末40とがSSL通信する時に前記ホスト50が前記携帯端末40を認証するのに使うクライアント証明書542とを保持する。また更に前記セキュリティチップ413は、データとして、前記ホスト50から送信されるサーバ証明書551(後述)の正当性を検証するために使うサーバ証明書検証データ543と、前記本人10の本人確認に利用する第2認証情報544とを保持する。なお、前記セキュリティチップ413は耐タンパ性を備えており、これらのデータは所定の許可を得ない限り、読み書きができないようになっている。
【0044】
また、前記ホスト50はデータとして大きく分けて4種類のデータを持つ。前記ホスト50は、1種類目のデータとして、前記携帯端末40と前記ホスト50との安全な通信路を確立するためのデータを保持する。前記ホスト50は、前記ホスト50と前記携帯端末40とがSSL通信する時に、前記携帯端末40が前記ホスト50を認証するのに使うサーバ証明書551と、前記ホスト50から前記携帯端末40にメールを送信するときにメールを署名するために使うメール署名データ552を保持する。
【0045】
また、前記ホスト50は、2種類目のデータとして、金融機関の名義人に関するデータを保持する。前記ホスト50は、金融機関の名義人を一意に特定するための口座ID553と、前記名義人の所有する前記携帯端末40のメールアドレスを記憶する携帯端末アドレス554と、前記携帯端末40と前記ホスト間でSSL通信するときに前記ホスト50が前記携帯端末40を認証するのに使うクライアント証明書検証データ555と、前記名義人の口座を凍結するかどうかを決めるBOOL値を持つ凍結フラグ556と、前記名義人の届け出た印鑑を登録するための届出印データ557とを保持する。なおこれらのデータ553〜557は、金融機関の口座を開設した名義人の数だけ存在する。
【0046】
また、前記ホスト50は、3種類目のデータとして、金融機関の設置する前記ATM30に関するデータを保持する。前記ホスト50は、前記ATM30を識別するために付与されるATM端末ID558と、前記ATM端末ID558で識別される前記ATM30の設置場所(例えば、緯度と経度、あるいは付近の地図)に関する端末設置データ559とを保持する。なおこれらのデータ558〜559は、金融機関の保有する前記ATM30の台数分だけ存在する。
【0047】
また、前記ホスト50は、4種類目のデータとして、前記本人以外11が前記ATM30で取引情報を入力し、前記本人10が前記携帯端末40で前記取引を承認したときに、前記取引を承認した証拠となるデータを保持する。前記ホスト50は、前記取引が行われた日付と時間を示す取引日時560と、前記取引の口座を特定する口座ID561と、前記ATM30で入力された取引情報を示す取引データ562と、前記携帯端末40からの承認を確かに受けたことを示す承認データ563とを保持する。なおこれらのデータ560〜563は、金融機関の所有する前記ATM30で取引が行われた回数分だけ存在する。
【0048】
次に、前記不正取引防止システム100を導入後における、前記ATM30の利用ライフサイクルについて、図5を使って説明する。ここで前記本人10は、まず金融機関で口座を開設すると(フェーズ201)、前記ATM30で取引が可能な状態となる(フェーズ202)。しかし前記ATM30で正常な取引が行えなくなるといった状態もあり得る。前記携帯端末40の機種変更を行ったとき(フェーズ204)、前記携帯端末40の例えばメールアドレスを変更したとき(フェーズ205)、前記第1認証情報522を変更したとき(フェーズ206)、前記第2認証情報544を変更したとき(フェーズ207)、前記本人10が一時的に口座を使えなくする凍結を行ったとき(フェーズ208)、キャッシュカードの盗難・紛失によりキャッシュカードを再発行するとき(フェーズ209)、金融機関の統廃合といった時に口座が移設されたとき(フェーズ210)がそれにあたる。また、前記本人10が口座を解約する(フェーズ203)と、解約後に前記本人10はATMで取引できなくなる。
【0049】
これらのフェーズ201〜210のすべてについて、以降フェーズごとに分けて第1実施例における処理の流れを説明する。
【0050】
1.口座の開設フェーズ:
前記フェーズ201に示した口座の開設時には、金融機関は図4に示したデータをもつ前記キャッシュカード20の発行と、前記携帯端末40の前記セキュリティチップ413へのデータ書き込みと、前記ホスト50の保持するデータの追加を行う。
【0051】
金融機関は、前記口座の開設を申し込んだ者に前記口座ID553を割り当て、前記口座ID553と同じデータを前記キャッシュカード30の前記口座ID521にカードライタを使って書き込む。さらに名義人となる本人10に例えばバイオメトリクス情報をバイオメトリクス装置(図示せず)から登録してもらい、前記第1認証情報522にカードライタを使って書き込む。
【0052】
また金融機関は、前記携帯端末40の前記セキュリティチップ413に、前記メール署名データ552で署名したメールを検証するための前記メール署名検証データ541と、前記ホスト50が前記携帯端末40を認証するために利用する前記クライアント証明書542と、前記携帯端末40が前記ホスト50を認証するために利用する前記サーバ証明書検証データ543とを専用装置(図示せず)を使って書き込む。こうして書き込まれたデータ541〜543は、前記セキュリティチップ413の持つ機能により、金融機関の許可を得ない限り変更できないようになっている。
【0053】
さらに金融機関は、前記ホスト50の保持するデータとして、前記本人10の前記携帯端末40のメールアドレスを前記携帯端末アドレス554に登録し、前記携帯端末40を認証するために利用する前記クライアント証明書検証データ555を登録し、また前記本人10に届出印を提出してもらい、届出印データ557に登録する。
【0054】
2.ATMでの取引:
前記フェーズ202に示したATMでの取引可能状態では、口座を開設した前記本人10あるいは前記本人以外11のいずれも前記ATM30で取引することができる。前記ATM30における詳細な処理の流れについて図6〜図9を使って説明する。
【0055】
前記ATM30は、図8に示す画面800を前記表示部312に表示して、取引を待ち受ける(ステップ601)。本人が現金引き出しを行うときには「お引き出し」ボタン801を押下し、本人以外が現金引き出しを行うときには「代理人で引き出し」ボタン802を押下すれば良いようになっている。どのボタンが押下されたかについては、前記ATM30の前記メモリ302に保持する。以下では本発明の特徴的な処理となる、前記二つのボタンのいずれかが押下された時の処理に限定して説明する。
【0056】
前記「お引き出し」ボタン801が押下された場合も、前記「代理人で引き出し」ボタン802が押下された場合も、前記ATM30は、前記表示部312に画面810を表示し、前記キャッシュカード20の挿入を要求する。前記キャッシュカード20が前記カード読み書き部311に挿入されると、ATM30は、前記キャッシュカード20の前記口座ID521を読み取る(ステップ602)。
【0057】
前記ATM30は、前記ホスト通信部304を通じて前記ホスト50に問合せを行う。一方、この問合わせに対応する前記ホスト50の前記処理プログラム51は、前記口座ID521と一致する前記口座ID553を検索し、前記凍結フラグ556がONであるかどうかを確認する(ステップ603)。もし凍結(フラグがON)されていたら、前記処理プログラム51は前記ATM30に取引を中止するメッセージを返す。他方、このメッセージを受けた前記ATM30は、画面880を表示して処理中の取引を中止し、前記キャッシュカード20を返却する。
【0058】
また、前記認証情報入力端末切替部32は、前記メモリ302の保持する前記押下ボタンに関するデータを参照し、本人による取引(前記ボタン801を押下)か、本人以外による取引(前記ボタン802を押下)かに応じて処理を切り替える(ステップ604)。
【0059】
本人による取引の場合、前記第1認証情報入力部31は、画面820を前記表示部312に表示し、前記本人10に認証情報を前記操作部313に入力するよう要求する(ステップ605)。
【0060】
認証情報の入力が完了すると、前記第1認証情報入力部31は、前記カード読み書き部311を通じて前記キャッシュカード20から前記第1認証情報522を読み取り、入力された認証情報との照合を行う(ステップ606)。この照合により、もし本人でないと判定すれば、前記ATM30は、画面880を表示して実行中の取引を中止し、前記キャッシュカード20を返却する。
【0061】
一方、前記照合により、もし本人だと判定すれば、前記ATM30は、画面830を表示し、前記本人10に前記操作部313から取引情報を入力することを要求する(ステップ607)。
【0062】
前記取引情報の入力が完了すると、前記ATM30は、利用者からの要求内容に従って前記ホスト50の前記処理プログラム51と通信を行って口座の残高確認等を行い、前記キャッシュモジュール部314からの現金受け渡し、画面840の表示を実行し、取引を完了する(ステップ608)。
【0063】
次に、前記認証情報入力端末切替部32が前記ステップ604で本人以外による取引と判定した時の処理について説明する。
前記ステップ604において、前記認証情報入力端末切替部32が本人以外の取引と判定した時には、前記ATM30は、前記キャッシュカード20の前記リトライ用データ523を読み取り、もしクリアされていれば前記本人以外11に前記操作部313から取引情報を入力することを要求する画面850を前記表示部312に表示する。もし前記リトライ用データ523がクリアされていなければ、前記リトライ用データ523をもとに取引情報を入力済みの状態とした画面860を前記表示部312に表示する(ステップ609)。
【0064】
前記ステップ609が完了すると続いて、前記ATM30は、前記表示部312に画面870を表示すると共に、前記本人10に前記携帯端末40を使って取引を承認してもらう処理を行う(ステップ610)。前記ステップ610については図7を使って説明する。
【0065】
前記ATM30は、取引に関する前記口座ID521、前記ATM30で取引を行った日付と日時、前記ATM30に割り当てられたATM端末ID、前記ATM30の前記カメラ310で撮影した前記ATM30の前に立つ者の顔写真、および前記本人以外11が前記ATM30に入力した取引情報を前記ホスト50に送信する(ステップ701)。
【0066】
前記処理プログラム51は、前記口座ID521に一致する前記口座ID553を検索し、該当する前記携帯端末アドレス554を検索し、前記携帯端末40宛てにメールを送信する。前記メールは、前記ステップ701で前記ホスト50が受信したデータと、さらに前記ATM端末ID558を検索して得られる前記ATM30の設置場所データ559のデータとを組み合わせた内容を本文に持つものである。前記処理プログラム51は前記メールを、前記メール署名データ552を使って署名してから前記携帯端末40に送信する(ステップ702)。
【0067】
前記携帯端末40は、前記署名付きメールを受信すると、前記メール署名検証データ541を使って前記署名を検証し、正しいホストから送信されたメールかどうかをチェックする(ステップ703)。正しいホストからのメールであれば、前記携帯端末40は図9に示す画面900を前記表示部411に表示する。正しいホストからのメールでなければ前記署名付きメールの着信を無視する。
【0068】
前記本人10は、前記携帯端末40の前記操作部412で操作し、画面910に示すように着信メール一覧から「代理人取引の承認願い」メールの件名911を選択する。前記メール911が選択されると、前記携帯端末40は画面920に示すようなATM取引詳細に関するメール内容を表示する(ステップ704)。
【0069】
前記本人10は前記操作部412で操作し、前記画面920に示すメール本文中のアドレス921をクリックする。前記アドレス921がクリックされると、前記携帯端末40は、前記ホスト50とSSL通信を確立する処理を行うため、前記クライアント証明書542を前記ホスト50に送信する。前記クライアント証明書542を受信した前記ホスト50は、前記クライアント証明書検証データ555を使って前記携帯端末40を認証する(ステップ705)。
【0070】
つづいて、前記処理プログラム51は、前記サーバ証明書551を前記携帯端末40に送信する。前記サーバ証明書551を受信した前記携帯端末40は、前記サーバ証明書検証データ543を使って前記ホスト50を認証する(ステップ706)。
【0071】
前記ステップ705かつ前記ステップ706の相互認証が完了すると、前記第2認証情報入力部41は、画面930を前記表示部411に表示し、前記本人10に認証情報を前記操作部412から入力することを要求する(ステップ707)。
【0072】
前記本人10が認証情報を入力すると、前記第2認証情報入力部41は、前記第2認証情報544と照合を行う(ステップ708)。もし本人でないと判定すると、前記ホスト50へと取引を中止するメッセージを送る。
【0073】
前記ステップ708で本人であると判定すると、前記ホスト50は前記携帯端末40に代理人取引を承認するWebページを送信する。一方、前記携帯端末40は、Webブラウザを起動して前記表示部411に前記Webページに基づく画面940を表示する(ステップ709)。
【0074】
前記本人10は、前記画面940を見ながら前記操作部412で操作し、代理人取引に対する処理をボタン941〜944を押下することで決定する(ステップ710)。
なお、前記画面940における「取引を許可する」ボタン941が押下されると、前記携帯端末40は、前記ホスト50に取引を許可するメッセージを送信する。さらに前記処理プログラム51は、前記携帯端末40の前記表示部411に画面950を表示する(ステップ711)。
また、「取引を中止する」ボタン942が押下されると、前記携帯端末40は、前記ホスト50に取引を中止するメッセージを送信する。さらに前記処理プログラム51は、前記表示部411に画面960を表示する(ステップ712)。
また、「警察に通報する」ボタン943が押下されると、前記携帯端末40は、前記ホスト50に警察に通報するメッセージを送信する。さらに前記表示部411に画面970を表示する。また前記処理プログラム51は、前記メッセージを受け取ると警察に通報する(ステップ713)。
また、「口座を凍結する」ボタン944が押下されると、前記携帯端末40は、前記ホスト50に口座を凍結するメッセージを送信する。さらに前記表示部411に画面980を表示する。また前記処理プログラム51は、前記メッセージを受け取ると、前記凍結フラグ556をONにする(ステップ714)。
【0075】
なお、前記ステップ702において、前記処理プログラム51は、前記ATM30から送信された端末IDをもとに前記端末設置データ559を取得すると述べたが、あるいは前記端末設置データ559を前記ATM30の前記記憶装置303が保持し、前記ATM30が前記ホスト50に送信するものであっても良い。ただし、前記ATM30と前記ホスト50との通信路を流れるトラフィック量の点からすると、前記ホスト50が前記端末設置データ559を保持する方法が最適である。
【0076】
以上のステップ701〜ステップ714が完了すると、ふたたび前記ATM30での処理に戻る。図6を使ってATM取引の処理の続きを説明する。
【0077】
前記ATM30は、前記ステップ610の処理が所定時間内に完了するかどうかをチェックする(ステップ611)。もしタイムアウトであれば、前記ATM30は前記キャッシュカード20の前記リトライ用データ523に前記ATM30に入力されたデータを書き込み(ステップ615)、実行中の取引を中止し前記表示部312に画面880を表示すると共に、前記キャッシュカード20を返却する。所定時間内に前記ステップ610の処理が完了すれば、前記キャッシュカード20の前記リトライ用データ523のデータをクリアする(ステップ612)。
【0078】
さらに、前記ATM30は、前記ステップ610からの承認結果が取引を許可するものかどうかをチェックする(ステップ613)。なお、前記ステップ611で取引を許可する以外の結果である時には、前記ATM30は、実行中の取引を中止し前記表示部312に画面880を表示すると共に、前記キャッシュカード20を返却する。
【0079】
他方、前記ステップ613で取引を許可する結果である時には、前記ATM30は、前記本人10から承認を受けて取引を行った証拠となるデータとして、図4に示す前記取引日時560、前記口座ID561、前記取引データ562、前記承認データ563を前記ホスト50に記録する(ステップ614)。
【0080】
最後に、前記ATM30は、前記ステップ608と同様に前記ホスト50と通信して取引を実施する。以上で、ATMでの取引が完了する。
【0081】
なお前記ステップ605では、前記キャッシュカード20から前記第1認証情報522を読み取り前記ATM30内で照合を行う方法としたが、あるいは、前記キャッシュカード20は論理回路を有する構成であっても良い。前記キャッシュカード20が論理回路を有する場合には、前記操作部313から入力された認証情報を前記キャッシュカード20に送信し、前記論理回路で照合を行う方法をとる。
【0082】
3.携帯端末の機種変更:
前記フェーズ204で述べたように、前記本人10が前記携帯端末40を別の機種に変更する時には、新しい携帯端末と前記キャッシュカード20を持って金融機関に赴き、前記口座の開設時に行ったのと同じように、図4に示す前記メール署名検証データ541、前記クライアント証明書542、前記サーバ証明書検証データ543を前記セキュリティチップ413に書き込むことを行う。
金融機関は、前記第1認証情報522を使って本人確認を行い、第3者による不正な機種変更ではないことを確認してから、新しい前記携帯端末40の前記セキュリティチップ413にデータ541〜543を書き込む。
【0083】
なお、第3者による不正な機種変更ではないことを確認するために、前記本人10に届出印を持ってきてもらい、前記届出印データ557と照合して本人確認を行う方法もある。
また、古い携帯端末の前記セキュリティチップ413の保持するデータ541〜544は、前記セキュリティチップ413が耐タンパ性を備えているため、データを消去しなくても前記データが漏洩する可能性は小さい。
【0084】
4.携帯端末アドレスの変更:
前記フェーズ205で述べたように、前記本人10が所有する前記携帯端末40のアドレスを変更した時には、前記本人10は前記キャッシュカード20を持って金融機関に赴き、変更後のアドレスを届け出る。金融機関は、前記キャッシュカード20の前記第1認証情報522を使って本人確認を行い、第3者による不正なアドレス変更ではないことを確認してから、前記ホスト50の保持する前記携帯端末アドレス554のデータを書き換える。
なお第3者による不正なアドレス変更ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。
【0085】
5.第1認証情報の変更:
前記フェーズ206で述べたように、前記第1認証情報522を変更する場合、前記本人10は前記キャッシュカード20を持って金融機関に赴き、前記第1認証情報522のデータの書き換えを行う。金融機関は、変更前の前記第1認証情報522を使って本人確認を行い、第3者による不正な認証情報の変更ではないことを確認してから、前記第1認証情報522のデータを書き換える。
なお第3者による不正な認証情報の変更ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。
このような前記第1認証情報522の変更は、例えばバイオメトリクス情報を利用する場合、経年変化もあることから定期的に行うことが望ましい。例えば、クレジット機能付きキャッシュカードの場合には、クレジット機能の有効期限が終了するタイミングで前記第1認証情報522を変更することが挙げられる。
【0086】
6.第2認証情報の変更:
前記フェーズ207で述べたように、前記第2認証情報544を変更する場合、前記本人10は自己責任の下で前記携帯端末40の前記操作部412から前記第2認証情報544を変更することができる。前記携帯端末40は、変更前の前記第2認証情報544を使って本人確認を行い、第3者による不正な認証情報の変更ではないことを確認してから、前記第2認証情報544のデータを書き換える。
なお、このような第2認証情報544の変更は、例えばバイオメトリクス情報を利用する場合、経年変化もあることから定期的に行うことが望ましい。例えば、前記携帯端末40の機種変更とあわせて行うことが挙げられる。
【0087】
7.口座の凍結:
前記フェーズ208で述べたような口座の凍結は、例えば図7に示した前記ステップ714で行われる。口座の凍結を解除するには、前記本人10が前記携帯端末40から前記ホスト50に接続し、前記凍結フラグ556をOFFにすることを行う。前記凍結フラグ556をOFFにする前には、前記第2認証情報入力部41から前記本人10に認証情報を入力してもらい、前記第2認証情報544と照合して本人確認を行うことで、第3者による不正な口座の凍結解除でないことを確認してから、前記凍結フラグ556をOFFにする。前記本人10は、前記携帯端末40から口座の凍結を解除することができる。
【0088】
8.キャッシュカードの再発行:
前記フェーズ209で述べたように前記本人10が前記キャッシュカード20を再発行する時には、 前記携帯端末40を持って金融機関に赴き、再発行の手続きを行う。その時、金融機関は前記ホスト50の保持する前記携帯端末アドレス554に通知し、前記第2認証情報入力部41から前記本人10に認証情報を入力してもらい、前記第2認証情報544と照合して本人確認を行うことで、第3者による不正な再発行ではないことを確認し、前記キャッシュカード20を再発行する。
なお第3者による不正な再発行ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。例えば、前記携帯端末40も一緒に紛失あるいは盗難した場合には、本方法による本人確認を行う。
【0089】
9.口座の移設:
前記フェーズ210で述べたように、金融機関の統廃合により口座を移設する場合には、前記本人10は前記キャッシュカード20を持って金融機関に赴き、前記口座ID521のデータを書き換える。合わせて前記ホスト50の保持する前記口座ID553も書き換える。
【0090】
10.口座の解約:
前記フェーズ203で述べたように、前記本人10が口座を解約する時には、前記キャッシュカード20を持って金融機関に赴き、自身の口座を解約することを申し出る。金融機関は、前記第1認証情報522を使って本人確認を行い、第3者による不正な解約でないことを確認してから、前記口座ID521に対応する前記ホスト50上の前記口座ID553、前記携帯端末アドレス554、前記クライアント証明書検証データ555、前記凍結フラグ556、前記届出印データ557のデータを削除する。これにより以降、前記口座ID521に関する取引はできなくなる。
なお、第3者による不正な解約ではないことを確認するために、前記本人10に届出印を持ってきたもらい、前記届出印データ557と照合して本人確認を行う方法もある。
【0091】
以上述べてきた第1実施例の不正取引防止システム100により、本人以外がATM30で取引を行う場合にも、本人所有の携帯端末40に本人自身が第2認証情報を入力することで、本人確認を行い、ATM30の取引サービスを提供することができる。これにより、代理人取引の場合にも、事前に登録する必要なく、かつ前記代理人に第1認証情報を渡すことなく安全に代理人取引を行うことができる。
【0092】
また前記不正取引防止システム100は代理人取引を安全に行う以外にも、ATM30の備える第1認証情報入力部を利用する替わりに、携帯端末40の備える第2認証情報入力部を必ず使いたいという要求を満たすことにも利用できる。例えば、ATM30のキーパッド装置がなりすまされていたりATM上で盗聴が行われていたりすることを懸念して、前記第1認証情報入力部を使わずに、前記第2認証情報入力部を使いたいといった要求が考えられる。前記不正取引防止システム100はこのようなセキュリティに関する要求も満たすことができる。
【0093】
−−−実施例2−−−
第1実施例における前記認証情報入力端末切替部32は、本人による取引か本人以外による取引かを区別するために、図8に示す前記画面800上で押下されるボタンに応じて判定を実行した。本第2実施例における認証情報入力端末切替部32は、本人による取引か本人以外による取引かを、前記携帯端末40の現在位置が前記ATM30の設置場所と一致しているかどうかに応じて自動的に判定する。
【0094】
第2実施例におけるATM取引のフローチャートは、図6に示す前記ステップ601〜前記ステップ603までは共通である。ただし、前記ステップ601において前記表示部312に表示する画面800において、前記「代理人で引き出し」ボタン802はなくても良い。
【0095】
つづく前記認証情報入力端末切替部32が、認証情報の入力端末を切り替える処理について、図10を使って説明する。
図6の前記ステップ603で口座が凍結されていないことを確認すると、つぎに前記認証情報入力端末切替部32は、前記キャッシュカード20の前記口座ID521と前記ATM30に割り当てられた端末IDとを前記ホスト50に送信する(ステップ1001)。
前記ホスト50の前記処理プログラム51は、前記携帯端末アドレス554にダイアルし、前記携帯端末40に位置情報を返すように要求する(ステップ1002)。なお、前記前記携帯端末アドレス554は前述したメールアドレスに限らず、前記携帯端末40を発呼できるものであれば良い。
前記携帯端末40は、前記GPS衛星60の発信する電波を前記GPS受信部402で受けて、現在位置を算出する。算出した現在位置を前記ホスト50に返す(ステップ1003)。
【0096】
前記ホスト50の前記処理プログラム51は、前記ATM30から受けた現在位置の情報と、前記ATM端末ID558から検索して特定できる前記端末設置データ559とを比較する(ステップ1004)。比較により前記ATM30と前記携帯端末40との距離が所定のしきい値(例えば10m)未満であれば本人による取引と判定し、前記ステップ605へと続く処理を行う。前記しきい値以上であれば本人以外による取引と判定し、前記ステップ609へと続く処理を行う。前記しきい値は、どの場所にあるATMで取引しようとしているかが区別できるように、GPSを用いた位置特定の精度も考慮して決めれば良い。ただし、1つの場所に2台以上のATMが設置される場合には、どのATMによる取引であるのかまでを区別する必要はなく、どの場所で取引しようとしているかを区別できれば十分である。
【0097】
以上述べてきた第2実施例により、第3者がキャッシュカードを偽造してATMで取引する場合にも、本人の所有する携帯端末に確実に通知されるようになり、不正取引の抑止効果を高めることができる。
【0098】
−−−実施例3−−−
第1実施例における前記第1認証情報522は、前記キャッシュカード20が保持し、前記第2認証情報544は前記携帯端末40の前記セキュリティチップ413が保持する構成とした。第3実施例では、これらの認証情報の格納場所として前記ホスト50を利用する方法について説明する。
【0099】
図11に示すように、前記第1実施例での前記第1認証情報522および前記第2認証情報544の格納場所は、同図において示す“(a)”欄1101の構成をとる。しかし、前記キャッシュカード20は携帯可能であるため盗難や紛失の機会が大きく、また前記キャッシュカード20が磁気カードの場合にはスキミングの被害に会いやすく、前記キャッシュカード20の中に前記第1認証情報を522保持しておくことは、前記第1認証情報522が漏洩する一因にもなりえる。
【0100】
そこで図11の“(b)”欄1102に示すように、前記第1認証情報522を前記ホスト50に保持する方法がある。前記(b)の構成では、前記認証情報入力端末切替部32が前記第1認証情報入力部31に切り替えた時には、前記第1認証情報入力部31から入力された第1認証情報を前記ホスト50に転送し、前記ホスト50で前記第1認証情報522と照合することで本人確認を行う。また前記認証情報入力端末切替部32が前記第2認証情報入力部41に切り替えた時には、前記第2認証情報入力部41から入力された第1認証情報を前記ホスト50に転送し、前記ホスト50で前記第1認証情報522と照合することで本人確認を行う。
【0101】
以上述べてきた第3実施例により、紛失や盗難の発生可能性の高いキャッシュカードに前記第1認証情報を置かずにホストに前記第1認証情報を置く構成とすることで、紛失や盗難による前記第1認証情報の漏洩を防止することができる。
【0102】
以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
【図面の簡単な説明】
【0103】
【図1】本実施形態における不正取引防止システムのシステム構成図である。
【図2】本実施形態におけるATMのブロック図と外観を説明した図である。
【図3】本実施形態における携帯端末のブロック図と外観を説明した図である。
【図4】本実施形態における不正取引防止システムの各装置が保持するデータの説明図である。
【図5】本実施形態における不正取引防止システム導入後のATM利用ライフサイクルを示す図である。
【図6】本実施形態における不正取引防止システムのATM取引のフローチャート図である。
【図7】本実施形態における本人による承認手続きのフローチャート図である。
【図8】本実施形態の不正取引防止システムにおけるATMでの表示例を示す図である。
【図9】本実施形態の不正取引防止システムにおける携帯端末での表示例を示す図である。
【図10】第2実施例における認証情報入力端末切替部のフローチャート図である。
【図11】本実施形態における認証情報を格納する場所の変形例を説明する図である。
【符号の説明】
【0104】
10 本人 11 本人以外
20 キャッシュカード(媒体) 30 ATM(第1端末もしくは端末装置)
31 第1認証情報入力部 32 認証情報入力端末切替部
40 携帯端末(第2端末) 41 第2認証情報入力部
50 ホスト 51 処理プログラム
60 GPS衛星 100 不正取引防止システム
301 CPU 302 メモリ
303 記憶装置 304 ホスト通信部
305 バス 310 カメラ
311 カード読み書き部 312 表示部
313 操作部 314 キャッシュモジュール部
401 制御部 402 GPS受信部
403 携帯通信部 404 メモリ
405 記憶装置 406 バス
411 表示部 412 操作部
413 セキュリティチップ 521 口座ID
522 第1認証情報 523 リトライ用データ
541 メール署名検証データ 542 クライアント証明書
543 サーバ証明書検証データ 544 第2認証情報
551 サーバ証明書 552 メール署名検証データ
553 口座ID 554 携帯端末アドレス
555 クライアント証明書検証データ 556 凍結フラグ
557 届出印データ 558 ATM端末ID
559 端末設置データ 560 取引日時
561 口座ID 562 取引データ
563 承認データ
【特許請求の範囲】
【請求項1】
第1認証情報の入力を受付ける第1認証情報入力手段を備え、前記第1認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する第1端末と、第2認証情報の入力を受付ける第2認証情報入力手段を備え、前記第1端末と通信可能な前記第2端末とを備えるシステムにおいて、
前記第1端末が、認証情報の入力を受付けるに際し前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を前記第1端末と第2端末とで切り替える、認証情報入力端末切替手段を有することを特徴とする不正取引防止システム。
【請求項2】
請求項1において、
前記第1端末が、利用者からの入力を受け付ける第1入力手段を備え、
前記第1入力手段が、前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを認証情報入力に用いる旨の選択を受け付け、
前記認証情報入力端末切替手段が、前記選択に応じて認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることを特徴とする不正取引防止システム。
【請求項3】
請求項1において、
前記認証情報入力端末切替手段が、前記第2端末について取得した位置情報と、前記第1端末の設置場所と比較して、前記第1端末と前記第2端末との距離が所定範囲内である場合に前記第1認証情報入力手段を利用し、前記距離が所定範囲を超える場合に前記第2認証情報入力手段を利用すべく、認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることを特徴とする不正取引防止システム。
【請求項4】
請求項2または3において、
前記第2端末が前記第2端末の所有者への所定通知を行うための第2通知手段を備え、
前記第2通知手段が、認証情報入力用の端末として前記第1認証情報入力手段から前記第2認証情報入力手段への切り替えが前記認証情報入力端末切替手段により実行された場合に、前記第1端末の利用者に関して入力インターフェイスより取得した、利用時刻情報、利用場所情報、利用者の身体的な情報、利用取引情報のいずれか1つ以上の情報を通知するものであることを特徴とする不正取引防止システム。
【請求項5】
請求項4において、
前記第2通知手段が、前記第1端末と前記第2端末とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、前記通知を行うものであることを特徴とする不正取引防止システム。
【請求項6】
請求項4において、
前記第2端末が、前記第2端末の所有者からの入力を受け付ける第2入力手段を備え、
前記第2入力手段が、前記第1端末で処理中の前記サービスの提供承認指示を受付ける承認手段と、前記サービスの提供中止指示を受付ける第1中止手段と、次機会以降も前記サービスの提供を中止する指示を受け付ける第2中止手段と、前記サービスの提供中止に伴って所定の連絡先に所定内容の通報をする旨の指示を受け付ける第3中止手段のいずれか1つ以上の選択受付手段を備えることを特徴とする不正取引防止システム。
【請求項7】
請求項6において、
前記第2入力手段は、前記第2認証情報入力部から入力された第2認証情報に基づく本人確認により本人確認ができた場合に、前記選択受付手段を通じた指示受付を実施するものであることを特徴する不正取引防止システム。
【請求項8】
請求項7において、
前記第1端末が、利用者への通知を行うための第1通知手段を備え、
前記第1通知手段は、前記第2入力手段において前記第1中止手段、前記第2中止手段、前記第3中止手段のいずれかに指示がなされたかを問わず、同一内容の所定通知を行うものであることを特徴とする前記不正取引防止システム。
【請求項9】
請求項6において、
前記第1端末は、前記第2入力手段を通して所定時間内に入力がなかった場合に、前記第1入力手段で入力された取引情報を前記媒体に記憶し、当該媒体に基づく次の利用機会において、前記媒体に記憶された前記取引情報を読み出して、前記第1入力手段において前回の利用機会と同じ取引情報を入力済みとするものであることを特徴とする不正取引防止システム。
【請求項10】
請求項1において、
前記第1認証情報入力手段で入力された第1認証情報を照合するための登録済み第1認証情報を格納し、前記第1端末および前記第2端末と通信可能な第1端末管理装置を備え、 前記第1端末管理装置が、前記第2端末より転送される、前記第2認証情報入力手段で入力された第1認証情報を受信し、当該第1認証情報と前記登録済み第1認証情報とを照合するものであることを特徴とする不正取引防止システム。
【請求項11】
請求項10において、
前記第2端末および第1端末管理装置が、前記第2端末と前記第1端末管理装置とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、データ通信を行うものであることを特徴とする不正取引防止システム。
【請求項12】
認証情報の入力を受付ける第1認証情報入力手段を備え、前記認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する端末装置であって、
認証情報の入力を受付けるに際し前記第1認証情報入力手段、または当該端末装置と通信可能な第2端末が備える第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を当該端末装置と前記第2端末とで切り替え可能な、認証情報入力端末切替手段を有することを特徴とする端末装置。
【請求項1】
第1認証情報の入力を受付ける第1認証情報入力手段を備え、前記第1認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する第1端末と、第2認証情報の入力を受付ける第2認証情報入力手段を備え、前記第1端末と通信可能な前記第2端末とを備えるシステムにおいて、
前記第1端末が、認証情報の入力を受付けるに際し前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を前記第1端末と第2端末とで切り替える、認証情報入力端末切替手段を有することを特徴とする不正取引防止システム。
【請求項2】
請求項1において、
前記第1端末が、利用者からの入力を受け付ける第1入力手段を備え、
前記第1入力手段が、前記第1認証情報入力手段または前記第2認証情報入力手段のいずれかを認証情報入力に用いる旨の選択を受け付け、
前記認証情報入力端末切替手段が、前記選択に応じて認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることを特徴とする不正取引防止システム。
【請求項3】
請求項1において、
前記認証情報入力端末切替手段が、前記第2端末について取得した位置情報と、前記第1端末の設置場所と比較して、前記第1端末と前記第2端末との距離が所定範囲内である場合に前記第1認証情報入力手段を利用し、前記距離が所定範囲を超える場合に前記第2認証情報入力手段を利用すべく、認証情報入力用の端末を前記第1端末または前記第2端末のいずれかに切り替えるものであることを特徴とする不正取引防止システム。
【請求項4】
請求項2または3において、
前記第2端末が前記第2端末の所有者への所定通知を行うための第2通知手段を備え、
前記第2通知手段が、認証情報入力用の端末として前記第1認証情報入力手段から前記第2認証情報入力手段への切り替えが前記認証情報入力端末切替手段により実行された場合に、前記第1端末の利用者に関して入力インターフェイスより取得した、利用時刻情報、利用場所情報、利用者の身体的な情報、利用取引情報のいずれか1つ以上の情報を通知するものであることを特徴とする不正取引防止システム。
【請求項5】
請求項4において、
前記第2通知手段が、前記第1端末と前記第2端末とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、前記通知を行うものであることを特徴とする不正取引防止システム。
【請求項6】
請求項4において、
前記第2端末が、前記第2端末の所有者からの入力を受け付ける第2入力手段を備え、
前記第2入力手段が、前記第1端末で処理中の前記サービスの提供承認指示を受付ける承認手段と、前記サービスの提供中止指示を受付ける第1中止手段と、次機会以降も前記サービスの提供を中止する指示を受け付ける第2中止手段と、前記サービスの提供中止に伴って所定の連絡先に所定内容の通報をする旨の指示を受け付ける第3中止手段のいずれか1つ以上の選択受付手段を備えることを特徴とする不正取引防止システム。
【請求項7】
請求項6において、
前記第2入力手段は、前記第2認証情報入力部から入力された第2認証情報に基づく本人確認により本人確認ができた場合に、前記選択受付手段を通じた指示受付を実施するものであることを特徴する不正取引防止システム。
【請求項8】
請求項7において、
前記第1端末が、利用者への通知を行うための第1通知手段を備え、
前記第1通知手段は、前記第2入力手段において前記第1中止手段、前記第2中止手段、前記第3中止手段のいずれかに指示がなされたかを問わず、同一内容の所定通知を行うものであることを特徴とする前記不正取引防止システム。
【請求項9】
請求項6において、
前記第1端末は、前記第2入力手段を通して所定時間内に入力がなかった場合に、前記第1入力手段で入力された取引情報を前記媒体に記憶し、当該媒体に基づく次の利用機会において、前記媒体に記憶された前記取引情報を読み出して、前記第1入力手段において前回の利用機会と同じ取引情報を入力済みとするものであることを特徴とする不正取引防止システム。
【請求項10】
請求項1において、
前記第1認証情報入力手段で入力された第1認証情報を照合するための登録済み第1認証情報を格納し、前記第1端末および前記第2端末と通信可能な第1端末管理装置を備え、 前記第1端末管理装置が、前記第2端末より転送される、前記第2認証情報入力手段で入力された第1認証情報を受信し、当該第1認証情報と前記登録済み第1認証情報とを照合するものであることを特徴とする不正取引防止システム。
【請求項11】
請求項10において、
前記第2端末および第1端末管理装置が、前記第2端末と前記第1端末管理装置とを接続する通信路において、盗聴、改ざん、なりすましに対する所定の防止対策が施された通信路が確立された後、データ通信を行うものであることを特徴とする不正取引防止システム。
【請求項12】
認証情報の入力を受付ける第1認証情報入力手段を備え、前記認証情報と利用者認証用の媒体が記録する情報とに基づく利用者の本人確認を行い、当該本人確認の結果に応じて所定サービスを提供する端末装置であって、
認証情報の入力を受付けるに際し前記第1認証情報入力手段、または当該端末装置と通信可能な第2端末が備える第2認証情報入力手段のいずれかを使用すべく、認証情報入力用の端末を当該端末装置と前記第2端末とで切り替え可能な、認証情報入力端末切替手段を有することを特徴とする端末装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2006−302210(P2006−302210A)
【公開日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願番号】特願2005−126936(P2005−126936)
【出願日】平成17年4月25日(2005.4.25)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願日】平成17年4月25日(2005.4.25)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]