利用者認証端末、認証システム、利用者認証方法、および利用者認証プログラム
【課題】利用者の利便性の向上を図るとともに、他人を利用者本人であるとする誤認証を抑えることでセキュリティの向上を図った利用者認証端末を提供する。
【解決手段】ATM1は、利用者による会員番号、およびパスワードの入力を受け付けるとともに、利用者の生体情報を読み取る。ATM1は、会員番号、パスワード、および生体情報を含む、利用者の認証要求を上位装置3に送信し、この上位装置3から認証結果を受信する。ATM1は、認証結果が認証不可であれば、予め定められている待機時間経過するのを待って、認証結果を出力する。
【解決手段】ATM1は、利用者による会員番号、およびパスワードの入力を受け付けるとともに、利用者の生体情報を読み取る。ATM1は、会員番号、パスワード、および生体情報を含む、利用者の認証要求を上位装置3に送信し、この上位装置3から認証結果を受信する。ATM1は、認証結果が認証不可であれば、予め定められている待機時間経過するのを待って、認証結果を出力する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、操作者が利用者本人であるかどうかを、登録されている利用者の生体情報を用いて認証する利用者認証端末、認証システム、利用者認証方法、および利用者認証プログラムに関する。
【背景技術】
【0002】
従来、金融機関の店舗や、コンビニエンスストア等には、金融機関に開設されている口座に対して、出金取引、入金取引、振替取引等の複数種類の取引が処理できる現金自動預け払い機(所謂、ATM)が設置されている。ATMは、操作者のキャッシュカード(以下、単にカードと言う。)を受け付け、そのカードに記録されている口座番号等のカード情報を読み取る。また、ATMでは、操作者が利用者本人(カードの所有者本人)であるかどうかを認証するためにパスワードを入力させている。操作者が利用者本人であることが認証できた場合に(入力されたパスワードが適正であった場合に)、要求された出金取引や入金取引等の各種取引を処理する。
【0003】
また、パスワードの漏洩や、カードの紛失、偽造等に対するセキュリティを向上させるために、上述のパスワードに加えて、指静脈、掌紋、虹彩、顔等の生体情報を用いて、操作者が利用者本人であるかどうかを認証することも行われている。
【0004】
さらに、特許文献1に示されているように、カードを使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証し、取引が処理できるATMも提案されている。この特許文献1の構成では、利用者は、カードを携帯しなくてもよい。
【特許文献1】特開2007−323116号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、生体認証においても、他人を利用者本人であると誤認証する他人受入率が存在する。このため、カード等の媒体を使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証する方式では、利用者本人になりすました他人(操作者)が、何度も繰り返し生体認証を行うことを制限することができない。また、この操作者が、何度も繰り返し生体認証を行うと、この操作者を利用者本人であると誤認証する確率が高くなる。すなわち、セキュリティを低下させてしまうという問題がある。
【0006】
この発明の目的は、利用者の利便性の向上を図るとともに、他人を利用者本人であるとする誤認証を抑えることでセキュリティの向上を図った利用者認証端末、認証システム、利用者認証方法、および利用者認証プログラムを提供することにある。
【課題を解決するための手段】
【0007】
この発明の利用者認証端末は、上記目的を達するために、以下のように構成している。
【0008】
識別情報入力手段が、利用者を識別する識別情報の入力を受け付ける。この識別情報は、例えば利用者を識別する利用者IDや、その利用者が予め定めたパスワード等である。識別情報は、1つであってもよいし、セキュリティを向上させるために、複数にしてもよい。ただし、識別情報の個数をあまり多くすると、利用者の操作性を低下させることから、利用者IDと、パスワードと、の2つ程度にするのが望ましい。
【0009】
生体情報読取手段が、操作者の生体情報を読み取る。生体情報は、指静脈、掌紋、虹彩、顔等にすればよい。通信手段が、識別情報入力手段に入力された識別情報、および生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する。
【0010】
上位装置は、利用者毎に、識別情報と生体情報とを対応付けて記憶しており、認証要求に含まれている識別情報、および生体情報の両方が適正であれば操作者を利用者本人である(認証可)と認証する。また、識別情報、および生体情報の一方でも適正でなければ操作者を利用者本人でない(認証不可)と判定する。上位装置は、この操作者の認証結果(認証可、または認証不可)を利用者認証端末に通知する。識別情報の適否は、例えば利用者IDが有効であるかどうかや、入力されたパスワードが登録されているパスワードに一致しているかどうかで判定する。
【0011】
そして、認証結果出力手段は、通信手段が前記上位装置から受信した認証結果が操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する。すなわち、識別情報、または生体情報のどちらが適正でなくても、認証要求の送信からの経過時間が待機時間に達するまで、認証不可にかかる認証結果を出力しない。したがって、この待機時間をある程度の長さの時間(上位装置との通信時間、識別情報による認証時間、および生体情報による認証時間の総和よりも少し長い時間)に設定しておけば、認証不可にかかる認証結果が出力されたタイミングから、識別情報、または生体情報のどちらが不適正であったのかを、操作者が判断することはできない。言い換えれば、利用者になりすましている操作者は、認証不可にかかる認証結果が出力されても、識別情報、または生体情報のどちらが不適正であったのか判断できない。このため、利用者になりすましている操作者を、利用者本人であると誤認証するのを十分に防止できる。また、カード等の媒体を使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証するので、利用者の利便性も向上できる。
【0012】
また、利用開始時に、操作者に対して同意画面を表示手段で表示し、操作者の同意が得られなかった場合に、利用を中止するようにしてもよい。この同意画面では、例えば、「認証不可のときには、生体情報を記録保存することがある。」や、「顔画像を撮像し、記録保存することがある。」等の規約を提示すればよい。これにより、利用者になりすましている操作者に対して、心理的な威嚇を与え、不正行為を抑止することができる。
【0013】
また、通信手段が上位装置から受信した認証結果が操作者の認証不可であれば、操作者を撮像手段で撮像し、この撮像画像を保存するようにしてもよい。
【0014】
さらに、認証結果出力手段は、通信手段が上位装置から受信した認証結果が操作者の認証可であれば、待機時間に達するのを待つことなく、今回の認証結果を出力する構成とればよい。これにより、操作者が利用者本人である場合に、この利用者の待ち時間を無駄に増加させることもない。
【0015】
なお、上位装置は、待機時間に関係なく、受信した認証要求に基づいて利用者を認証し、その認証結果を返信する構成であってもよいし、待機時間経過後に認証結果を返信する構成であってもよい。
【発明の効果】
【0016】
この発明によれば、利用者になりすましている操作者を、利用者本人であると誤認証するのを十分に防止できる。また、カード等の媒体を使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証するので、利用者の利便性も向上できる。
【発明を実施するための最良の形態】
【0017】
以下、この発明の実施形態について説明する。
【0018】
図1は、この発明にかかる認証システムを適用した取引処理システムの概要を示す図である。この取引処理システムは、複数の現金自動預け払い機1(以下、ATM1と言う)と、上位装置3と、を備えている。ATM1は、金融機関の店舗や、コンビニエンスストア等に設置される。上位装置3は、金融機関のセンタに設置される。各ATM1は、公衆回線や専用回線等で構築されたネットワーク5を介して上位装置3に接続している。操作者は、ATM1を操作して、金融機関に開設されている口座に対して出金取引、入金取引、振替取引等の取引が行える。
【0019】
図2は、ATMの主要部の構成を示すブロック図である。ATM1は、主制御部10と、表示・操作部11と、紙幣処理部12と、硬貨処理部13と、カード・明細書処理部14と、通帳処理部15と、生体情報読取部16と、記憶部17と、通信部18と、顧客検知部19と、撮像部20と、を備えている。このATM1は、キャッシュカード(以下、単にカードと言う。)を使用するカード有り取引、およびカードを使用しないカード無し取引で、各種取引が行える。カード無し取引は、予めカード無し取引の利用を登録する必要がある。言い換えれば、カード無し取引の利用を登録していない利用者は、カード無し取引が行えない。
【0020】
なお、カード有り取引にかかる処理は、公知のATMと同様である。
【0021】
主制御部10は、ATM1本体各部の動作を制御する。表示・操作部11は、本体正面に設けた表示器、およびこの表示器の画面上に貼付したタッチパネルを有している。表示・操作部11は、操作者に対する操作案内画面を表示器に表示する。また、表示・操作部11は、タッチパネルの押下位置を検知することにより、操作者の入力操作を受け付ける。
【0022】
紙幣処理部12は、本体正面に設けた紙幣入出金口と、本体内部に収納されている紙幣カートリッジと、の間に形成した紙幣搬送路に沿って紙幣を搬送する。また、紙幣処理部12は、紙幣搬送路に沿って搬送している紙幣毎に、金種、および真偽を鑑別する紙幣鑑別部を有している。紙幣鑑別部は、紙幣から読み取った磁気パターンや、透過光パターン等に基づいて真偽および金種を鑑別する。硬貨処理部13は、本体正面に設けた硬貨入出金口と、本体内部に収納されている硬貨カートリッジと、の間に形成された硬貨搬送路に沿って硬貨を搬送する。また、硬貨処理部13は、硬貨搬送路に沿って搬送している硬貨毎に、金種、および真偽を鑑別する硬貨鑑別部を有している。
【0023】
カード・明細書処理部14は、本体正面に設けたカード挿入口に挿入されたカードを取り込み、このカードの磁気ストライプに記録されているカード情報(金融機関番号、店舗番号、口座番号等の情報)の読み取りや、書き換え等も行う。また、挿入されたカードがICカードである場合には、必要に応じて、そのカードのICチップに記録されているデータの読み取りや、書き換えも行う。ICチップには、このカードの所有者である利用者本人の生体情報(登録情報)等が記録されている。さらに、カード・明細書処理部14は、取引内容を明細書に印字する印字部(不図示)を有する。カード・明細書処理部14は、取引内容を印字した明細書を本体正面に設けた明細書放出口に放出する。
【0024】
通帳処理部15は、本体正面に設けた通帳挿入口に挿入された通帳を取り込み、この通帳に対して取引履歴を印字する印字部(不図示)を有している。また、通帳処理部15は、取り込んだ通帳のページを捲るページ捲り機構や、通帳に印刷されているページ番号を示すバーコードを読み取るバーコードリーダ、通帳に貼付されている磁気ストライプに記録されている通帳情報(金融機関番号、店舗番号、口座番号等)を読み取る磁気ヘッド等も有している。
【0025】
また、生体情報読取部16は、本体正面に設けた生体情報読取センサを有している。この生体情報読取センサは、操作者の指静脈パターンを読み取る。ここでは、生体情報読取センサは、指静脈を読み取るセンサであるが、掌紋、虹彩、網膜等の他の種類の生体情報を読み取るセンサであってもよい。生体情報読取部16は、生体情報読取センサで読み取った操作者の生体情報(読取情報)と、カードのICチップに記録されている生体情報(登録情報)と、を照合し、その類似度から操作者がカード所有者(利用者本人)であるかどうかを認証する生体認証機能も有している。
【0026】
記憶部17は、ハードディスク等の記憶媒体を有し、この記憶媒体に各種情報を記憶する。この記憶媒体は、自ATM1が設置されている店舗を示す店舗番号、自ATM1を識別する機器番号、自ATM1のネットワークアドレス、ネットワーク5を介して接続される上位装置3や他の機器のネットワークアドレス等を記憶する。また、この記憶媒体は、利用者の認証結果を出力するタイミングを制限する待機時間や、カード無し取引にかかる規約文書、さらには、処理した取引にかかる取引ログ等も記憶する。この待機時間は、システムの管理者が任意に設定できる。
【0027】
通信部18は、ネットワーク5を介した上位装置3との通信を制御する。顧客検知部19は、本体正面を検知エリアとする近接センサを有し、この近接センサによって、装置本体正面に位置する操作者の有無を検知する。撮像部20は、ATM1本体を操作している操作者の顔を略正面から撮像する向きに取り付けたカメラを有する。ATM1は、必要に応じて、撮像部20のカメラの撮像画像を取り込み、この撮像画像を記憶部17の記憶媒体に記憶する。
【0028】
図3は、上位装置の主要部の構成を示すブロック図である。上位装置3は、主制御部30と、管理情報記憶部31と、通信部32と、を備えている。主制御部30は、上位装置3本体各部の動作を制御する。管理情報記憶部31は、後述する各種管理情報を記憶する。通信部32は、ネットワーク5を介したATM1との通信を制御する。
【0029】
管理情報記憶部31は、運用時に使用する運用データや、利用者を管理する利用者データ等を記憶する。運用データには、会員通番、ログ通番、生体認証閉塞制限回数、本人認証閾値、および本人近似閾値等が含まれている(図4参照)。会員通番は、カード無し取引が行える利用者の人数を示すデータである。この会員通番は、カード無し取引の利用者を登録する毎に1カウントアップされる。ログ通番は、カード無し取引における利用者の認証結果の出力件数(言い換えれば、カード無し取引における利用者の認証要求の件数)を示すデータである。ログ通番は、認証結果を出力する毎に1カウントアップされる。生体認証閉塞制限回数は、カード無し取引における生体認証の認証結果によって、対応する口座の閉塞を制限するデータである。この生体認証閉塞制限回数は、システムの管理者が任意に設定できる。本人認証閾値は、生体認証で操作者を利用者本人であると判定する類似度の閾値レベルを示すデータである。本人近似閾値は、生体認証で操作者を確実に利用者本人でないと判定する類似度の閾値レベルである。本人認証閾値は、本人近似閾値よりも高い。生体認証における類似度が、本人認証閾値を超えていれば操作者を利用者本人であると認証し、本人認証閾値を超えていなければ操作者を利用者本人でないと認証する。ただし、生体認証における類似度が、本人認証閾値を超えておらず、且つ本人近似閾値を超えている場合は、操作者が利用者本人であるかどうか認証できないグレーゾーンとして処理する。
【0030】
また、利用者データは、図5に示すように、利用者毎に、その利用者の会員通番、会員番号、パスワード、生体情報(テンプレート)、利用可否、生体認証失敗回数、および口座情報(店舗コード、科目、口座番号、名義)等を対応付けたデータである。会員通番は、カード無し取引の利用者として登録したときに、この利用者に割り当てた番号である。会員番号は、利用者を識別する利用者識別IDである。この会員番号は、システムが自動的に利用者に割り当てる構成であってもよいし、利用者に携帯電話の電話番号等を割り当てる構成であってもよい。パスワードは、登録時等に利用者が指定した所定桁数の番号である。パスワードは、英数字にしてもよい。生体情報(テンプレート)は、利用者の認証に用いる生体情報の登録データである。利用可否は、カード無し取引のサービス利用可否を示すデータであり、「利用可」、「閉塞」、「警告」の3種類のいずれかに設定される。「利用可」は、カード無し取引のサービスが利用できる状態であることを示す。「閉塞」は、口座を閉塞している状態、すなわち、カード無し取引のサービスが利用できない状態であることを示す。「警告」は、第三者による不正利用の可能性が発見された場合であり、この状態はシステム管理者が設定する。また、「警告」の場合は、カード無し取引のサービスが利用できない状態である。生体認証失敗回数は、生体認証の失敗回数のカウント値であり、生体認証における類似度が本人近似閾値を超えていない場合に1カウントアップされる。また、生体認証失敗回数は、生体認証における類似度が本人認証閾値を超えた場合にリセットされる。上位装置3は、生体認証における類似度が、本人認証閾値を超えておらず、且つ本人近似閾値を超えていた場合は、生体認証失敗回数を保持する。口座情報は、この会員番号に対応する口座が開設されている金融機関の店舗を示す店舗コード、この口座の科目、この口座の口座番号、この口座の名義等を示す情報である。
【0031】
また、管理情報記憶部31は、開設されている口座毎に、その口座に対する取引履歴や、現在の口座残高等を含む口座管理データも記憶している。
【0032】
次に、この取引処理システムの動作について説明する。この取引処理システムでは、上述したように、利用者は、カード有り取引、およびカード無し取引が行える。図5に示した利用者データに口座情報が登録されていない口座については、カード無し取引は行えない。図6は、ATMの動作を示すフローチャートである。ATM1は、図7に示す取引選択画面を表示・操作部11に表示し(s1)、操作者による取引種別の選択を待つ(s2)。ATM1は、操作者による取引種別の選択を受け付けると、選択された取引がカード無し取引以外(カード有り取引)であれば、今回選択された種別の取引(カード有り取引)を処理する(s3、s5)。s5では、必要に応じて、カード・明細書処理部14でカードを受け付ける。s5におけるカード有り取引は、公知のATMと同様であるので、ここでは説明を省略する。ATM1は、今回選択された取引を処理すると、s1に戻る。
【0033】
また、ATM1は、s3でカード無し取引が選択された場合、後述するカード無し取引処理を実行し(s4)、s1に戻る。
【0034】
図8、および図9は、カード無し取引処理を示すフローチャートである。ATM1は、カード無し取引の利用にかかる規約に対して、操作者に同意を求める同意画面(図10参照)を表示・操作部11に表示し(s11)、カード無し取引の利用にかかる規約に同意するかどうかの選択入力を待つ(s12)。このATM1では、防犯上の理由から、s11でカード無し取引の利用にかかる規約の同意画面を表示している。具体的には、カード無し取引では、誰もが操作することが可能であるため、不正な取引に備えてATMの操作履歴情報を多く蓄積することが望ましい。しかし、生体情報などの個人情報を利用者に無断で収集することは適当でない。そこで、この同意画面で、「認証不可のときには、生体情報を記録保存することがある。」や、「顔画像を撮像し、記録保存することがある。」等の規約を先に表示する。これにより、他人の口座に対して不正に取引を実行しようとしている操作者(利用者になりすましている操作者)に対して、心理的な威嚇を与え、不正行為を抑止することができる。ATM1は、操作者が同意しない旨の選択を行うと、本処理を終了する。
【0035】
ATM1は、操作者がカード無し取引の規約に同意する旨の選択を行うと、取引種別の選択画面(図11参照)を表示・操作部11に表示し(s13)、操作者による取引種別の選択を待つ(s14)。ATM1は、今回のカード無し取引における取引種別の選択を受け付けると、会員番号入力画面(図12参照)を表示・操作部11に表示し(s15)、会員番号の入力を受け付ける(s16)。ATM1は、会員番号の入力を受け付けると、パスワード入力画面(図13参照)を表示・操作部11に表示し(s17)、パスワードの入力を受け付ける(s18)。ATM1は、パスワードの入力を受け付けると、生体情報の提示要求画面(図14参照)を表示・操作部11に表示し(s19)、操作者が生体情報読取部16の生体情報読取センサに指を載せるのを待つ(s20)。ATM1は、操作者が生体情報読取部16の生体情報読取センサに指を載せると、生体情報の読取を開始するとともに、生体情報の読取中画面(図15参照)を表示・操作部11に表示する(s21、s22)。ATM1は、生体情報の読取が完了すると、生体情報の読取完了画面(図16参照)を表示・操作部11に表示する(s23、s24)。ATM1は、生体情報の読取が完了すると、認証処理を実行する(s24、25)。この認証処理は、操作者が利用者本人であるかどうかを認証する処理である。
【0036】
なお、ここでは、取引種別、会員番号、パスワード、生体情報の順番に入力するとしたが、この順番は、どのような順番であってもよい。
【0037】
図17は、s25にかかる認証処理を示すフローチャートである。ATM1は、認証中画面(図18参照)を表示・操作部11に表示する(s41)。また、ATM1は、認証要求電文を生成し(s42)、これを上位装置3に送信する(s43)。また、ATM1は、今回の認証要求電文の送信からの経過時間を計測するタイマをスタートさせる(s44)。
【0038】
s42で生成する認証要求電文には、自ATM1が設置されている店舗を示す店舗番号、自ATM1を識別する機器番号、今回入力された取引種別、会員番号、パスワード、生体情報等が含まれている。ATM1は、上位装置3からの認証結果を受信すると(s45)、本処理を終了する。
【0039】
ここで、上位装置3における操作者の認証処理について説明する。図19、および図20は、上位装置における、操作者の認証処理を示すフローチャートである。上位装置3は、ATM1からカード無し取引にかかる操作者の認証要求を受信すると(s51)、この認証要求に含まれている会員番号が適正であるかどうかを判定する(s52)。s52では、この会員番号が利用者データに登録されているかどうかによって、適正であるかどうかを判定する。
【0040】
上位装置3は、s52で会員番号が適正であると判定すると、今回受信した認証要求に含まれているパスワードが適正であるかどうかを判定する(s53)。s53では、s52で適正であると判定した会員番号に対応付けられているパスワード(利用者データに登録されているパスワード)と、今回受信した認証要求に含まれているパスワードと、が一致していれば適正であると判定し、一致していなければ不適正であると判定する。
【0041】
上位装置3は、s53でパスワードが適正であると判定すると、当該利用者に対するカード無し取引の利用可否が「利用可」、「閉塞」、「警告」のいずれであるかを判断する(s54、s55)。上位装置3は、当該利用者に対するカード無し取引の利用可否が「利用可」であると判定すると、今回受信した認証要求に含まれている操作者の生体情報と、利用者データとして記憶している該当する利用者の生体情報(テンプレート)と、を照合し、その類似度を算出する(s56)。上位装置3は、s56で算出した生体情報の類似度が、運用データに登録されている本人認証閾値を超えているかどうかを判定する(s57)。上位装置3は、s57で本人認証閾値を超えていると判定すると、当該利用者について記憶している生体認証失敗回数をリセットし(s58)、認証可にかかる応答電文を生成する(s59)。
【0042】
また、上位装置3は、s57で生体情報の類似度が、本人認証閾値を超えていないと判定すると、s56で算出した生体情報の類似度が、運用データに登録されている本人近似閾値を超えているかどうかを判定する(s60)。上位装置3は、s60で、本人近似閾値を超えていると判定すると、認証不可にかかる応答電文を生成する(s61)。このとき、上位装置3は、当該利用者について記憶している生体認証失敗回数をリセットしたり、カウントアップすることはない。
【0043】
また、上位装置3は、s60で生体情報の類似度が、本人近似閾値を超えていないと判定すると、当該利用者について記憶している生体認証失敗回数を1カウントアップする(s62)。上位装置3は、当該利用者について記憶している生体認証失敗回数(s62で1カウントアップされた回数)が、運用データに登録されている閉塞回数以上であるかどうかを判定する(s63)。上位装置3は、s63で、生体認証失敗回数が閉塞回数以上でないと判定すると、s61で認証不可にかかる応答電文を生成する。一方、上位装置3は、s63で、生体認証失敗回数が閉塞回数以上であると判定すると、当該利用者に対するカード無し取引の利用可否を「利用可」から「閉塞」に更新する(s64)。上位装置3は、カード無し取引の利用が「閉塞」であることを通知する応答電文を生成する(s65)。
【0044】
また、上位装置3は、s52で会員番号が適正でないと判定した場合、または、s53でパスワードが適正でないと判定した場合には、s61で認証不可にかかる応答電文を生成する。また、上位装置3は、s55で当該利用者に対するカード無し取引の利用可否が「警告」であると判定すると(s55で「閉塞」でないと判定すると)、今回認証要求を送信してきたATM1が設置されている店舗に設置されている監視装置(不図示)に対して、不正利用者にかかる警告通知を行い(s66)、s61で認証不可にかかる応答電文を生成する。さらに、上位装置3は、s55で当該利用者に対するカード無し取引の利用可否が「閉塞」であると判定すると、s65で、カード無し取引の利用が「閉塞」であることを通知する応答電文を生成する。
【0045】
上位装置3は、今回認証要求を送信してきATM1に対して、s59、s61、またはs65で生成した応答電文を認証結果として送信する(s67)。
【0046】
また、上位装置3は、上述した、認証処理を行う毎に、その認証処理のログを管理情報記憶部31に記憶する。例えば、「ログ通番」、「認証電文受信日時」、「店舗番号」、「機器番号」、「取引通番」、「入力会員番号」、「入力パスワード」、「利用可否状況」、「生体認証結果」、「会員通番」、「入力生体情報」等の項目をログデータとして記憶する。「ログ通番」は、今回の利用者認証処理に与えたシリアル番号であり、利用者認証処理を行う毎に1カウントアップされる。「認証電文受信日時」は、ATM1からの認証処理要求を受信した日時である。「店舗番号」「機器番号」「取引通番」「入力会員番号」「入力パスワード」「入力生体情報」は、ATM1から受診した利用者認証要求に含まれていた情報である。「利用可否状況」は、上述したs54、s55、s63の判定結果による、「利用可」、「閉塞」、または「警告」のいずれかである。「生体認証結果」は、生体認証における判定結果であり、認証可、認証不可(近似)、または、認証不可である。「会員通番」は、今回の認証処理の対象になった利用者の会員通番である。
【0047】
ATM1は、s45で、上位装置3から認証結果を受信したと判定すると、s25にかかる認証処理を完了する。ATM1は、今回上位装置3から通知された認証結果が認証可であるかどうかを判定する(s26)。ATM1は、s26で認証可であると判定すると、認証結果通知画面(図21参照)を表示・操作部11に表示する(s27)。図21に示すように、認証結果が認証可であったときには、認証できた旨の文言を表示するほか、認証された利用者の口座情報を表示する。ATM1は、操作者による確認入力があると(s28)、出金金額や入金金額等を含む取引内容の入力を受け付け(s29)、その取引内容に基づいて出金取引や入金取引等を処理する(s30)。ここでは、操作者の認証結果が認証可であったとき、認証結果通知画面で、その利用者の口座情報を表示するとしたが、この口座情報については、特に表示しなくてもよいし、s14で選択を受け付けた取引種別に応じて表示、非表示を切り替えてもよい。例えば、出金取引では非表示とし、入金取引では表示としてもよい。
【0048】
なお、ATM1は、s29で取引内容の入力を受け付けるときに、公知のカード有り取引と同様に、暗証番号を入力させる構成としてもよいが、すでに、操作者の本人認証が完了しているので、この暗証番号の入力を不要にし、操作者の操作性を向上させるほうが好ましい。また、上位装置3が、認証結果が認証可であった場合、口座残高等も応答電文に含めてATM1に通知することによって、s30で処理する取引の取引可否をATM1側で判定できるようにしてもよい。
【0049】
また、ATM1は、s26で認証可でないと判定すると、撮像部20が撮像している操作者の顔画像を取り込み(s31)、この顔画像と、今回読み取った操作者の生体情報を対応付けて、記憶部17に記憶する(s32)。また、ATM1は、s44でスタートさせたタイマが、設定されている待機時間に達するのを待つ(s33)。この待機時間は、操作者の認証処理におけるATM1と上位装置3との通信時間、上位装置3における会員番号、およびパスワード(この発明で言う識別情報)による認証時間、および生体情報による認証時間の総和よりも少し長い時間(例えば、3〜5s程度)に設定される。ATM1は、s33で待機時間に達したと判定すると、上位装置3からの認証結果である応答電文が、認証不可にかかる応答電文であるか、カード無し取引の利用可否が「閉塞」であることを通知する応答電文であるかを判定する(s34)。ATM1は、s33で、認証不可にかかる応答電文であると判定すると、認証不可であったことを通知する認証結果通知画面(図22参照)を表示・操作部11に表示する(s35)。
【0050】
図22に示すように、認証結果が認証不可であったときには、認証不可であった旨の文言を表示するが、認証不可となった原因(会員番号が存在しなかったのか、パスワードが間違っていたのか、または指静脈認証が失敗したのか)については表示しない。また、この認証結果を出力するタイミングは、上述したように待機時間によって制限されている。したがって、ATM1の利用者は、認証不可になった原因を、認証結果通知画面や、この認証結果の出力タイミングから判断することはできない。すなわち、利用者になりすまし、他人の口座に対して不正に取引を行おうとしている操作者に、認証不可となった原因が知られるのを防止できる。
【0051】
ATM1は、操作者による、リトライ、または中止にかかる入力を待つ(s36、s37)。ATM1は、リトライにかかる入力がなされると、s15に戻り上述した処理を繰り返す。反対に中止にかかる入力がなされると、本処理を終了する。
【0052】
なお、リトライ回数に上限(例えば、5回)を設けておき、その上限に達した場合には、認証不可であったこと、および取引中止を通知する認証結果通知画面(図23参照)を表示・操作部11に一定時間表示し、本処理を終了するようにしてもよい。
【0053】
ATM1は、s33で、カード無し取引の利用可否状況が「閉塞」であることを通知する応答電文であると判定すると、カード無し取引の利用可否状況が「閉塞」であることを通知する認証結果通知画面(図24参照)を表示・操作部11に一定時間表示し(s38)、本処理を終了する。
【0054】
なお、ATM1は、上記処理の途中で、操作者が取引中止にかかる入力を行ったときには、その時点で、本処理を終了する。
【0055】
このように、この取引処理システムでは、利用者はカードを使用することなく、入金取引や出金取引が行えるので、利用者の利便性を向上させることができる。また、利用者になりすまし、他人の口座に対して不正に取引を行おうとしている操作者に、認証不可となった原因が知られるのを防止できる。したがって、利用者の会員番号や、パスワードが他人に漏洩するのを防止でき、セキュリティの向上が図れる。
【0056】
また、操作者が利用者になりすましている可能性があるときには、ATM1が、この操作者の顔画像を撮像した撮像画像、および生体情報を対応付けて記憶するので、セキュリティの一層の向上が図れる。
【0057】
また、ATM1は、操作者の認証結果が認証可であったときには、待機時間に関係なく、上位装置3から認証結果を受信するとすぐに出力するので、利用者を無駄に待たせることもない。
【0058】
また、上記の説明では、ATM1が、待機時間を用いて、認証結果を出力するタイミングを制限するとしたが、上位装置3が、この待機時間経過するのを待って、認証結果をATM1に通知するように構成してもよい。この場合には、ATM1は、認証結果を受信すると、すぐに、この認証結果を出力すればよい。
【0059】
また、利用者本人がカード無し取引を、一時的に利用禁止に設定できる構成としてもよい。この場合、利用禁止が設定されている口座については、利用状況が警告であるときと同様の処理を行えばよい。
【0060】
なお、本願発明は、上述した取引処理システムに限らず、操作者が利用者本人であるかどうかを認証するシステムであれば、他のシステム、例えば入退室管理システム、にも適用可能である。
【図面の簡単な説明】
【0061】
【図1】取引処理システムの概要を示す図である。
【図2】ATMの主要部の構成を示す図である。
【図3】上位装置の主要部の構成を示す図である。
【図4】運用データを示す図である。
【図5】利用者データを示す図である。
【図6】ATMの動作を示すフローチャートである。
【図7】表示・操作部における表示画面例を示す図である。
【図8】カード無し取引を示すフローチャートである。
【図9】カード無し取引を示すフローチャートである。
【図10】表示・操作部における表示画面例を示す図である。
【図11】表示・操作部における表示画面例を示す図である。
【図12】表示・操作部における表示画面例を示す図である。
【図13】表示・操作部における表示画面例を示す図である。
【図14】表示・操作部における表示画面例を示す図である。
【図15】表示・操作部における表示画面例を示す図である。
【図16】表示・操作部における表示画面例を示す図である。
【図17】認証処理を示すフローチャートである。
【図18】表示・操作部における表示画面例を示す図である。
【図19】上位装置の動作を示すフローチャートである。
【図20】上位装置の動作を示すフローチャートである。
【図21】表示・操作部における表示画面例を示す図である。
【図22】表示・操作部における表示画面例を示す図である。
【図23】表示・操作部における表示画面例を示す図である。
【図24】表示・操作部における表示画面例を示す図である。
【符号の説明】
【0062】
1−現金自動預け払い機(ATM)
3−上位装置
5−ネットワーク
10−主制御部
11−表示・操作部
16−生体情報読取部
17ー記憶部
18−通信部
20−撮像部
30−主制御部
31−管理情報記憶部
32−通信部
【技術分野】
【0001】
この発明は、操作者が利用者本人であるかどうかを、登録されている利用者の生体情報を用いて認証する利用者認証端末、認証システム、利用者認証方法、および利用者認証プログラムに関する。
【背景技術】
【0002】
従来、金融機関の店舗や、コンビニエンスストア等には、金融機関に開設されている口座に対して、出金取引、入金取引、振替取引等の複数種類の取引が処理できる現金自動預け払い機(所謂、ATM)が設置されている。ATMは、操作者のキャッシュカード(以下、単にカードと言う。)を受け付け、そのカードに記録されている口座番号等のカード情報を読み取る。また、ATMでは、操作者が利用者本人(カードの所有者本人)であるかどうかを認証するためにパスワードを入力させている。操作者が利用者本人であることが認証できた場合に(入力されたパスワードが適正であった場合に)、要求された出金取引や入金取引等の各種取引を処理する。
【0003】
また、パスワードの漏洩や、カードの紛失、偽造等に対するセキュリティを向上させるために、上述のパスワードに加えて、指静脈、掌紋、虹彩、顔等の生体情報を用いて、操作者が利用者本人であるかどうかを認証することも行われている。
【0004】
さらに、特許文献1に示されているように、カードを使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証し、取引が処理できるATMも提案されている。この特許文献1の構成では、利用者は、カードを携帯しなくてもよい。
【特許文献1】特開2007−323116号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、生体認証においても、他人を利用者本人であると誤認証する他人受入率が存在する。このため、カード等の媒体を使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証する方式では、利用者本人になりすました他人(操作者)が、何度も繰り返し生体認証を行うことを制限することができない。また、この操作者が、何度も繰り返し生体認証を行うと、この操作者を利用者本人であると誤認証する確率が高くなる。すなわち、セキュリティを低下させてしまうという問題がある。
【0006】
この発明の目的は、利用者の利便性の向上を図るとともに、他人を利用者本人であるとする誤認証を抑えることでセキュリティの向上を図った利用者認証端末、認証システム、利用者認証方法、および利用者認証プログラムを提供することにある。
【課題を解決するための手段】
【0007】
この発明の利用者認証端末は、上記目的を達するために、以下のように構成している。
【0008】
識別情報入力手段が、利用者を識別する識別情報の入力を受け付ける。この識別情報は、例えば利用者を識別する利用者IDや、その利用者が予め定めたパスワード等である。識別情報は、1つであってもよいし、セキュリティを向上させるために、複数にしてもよい。ただし、識別情報の個数をあまり多くすると、利用者の操作性を低下させることから、利用者IDと、パスワードと、の2つ程度にするのが望ましい。
【0009】
生体情報読取手段が、操作者の生体情報を読み取る。生体情報は、指静脈、掌紋、虹彩、顔等にすればよい。通信手段が、識別情報入力手段に入力された識別情報、および生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する。
【0010】
上位装置は、利用者毎に、識別情報と生体情報とを対応付けて記憶しており、認証要求に含まれている識別情報、および生体情報の両方が適正であれば操作者を利用者本人である(認証可)と認証する。また、識別情報、および生体情報の一方でも適正でなければ操作者を利用者本人でない(認証不可)と判定する。上位装置は、この操作者の認証結果(認証可、または認証不可)を利用者認証端末に通知する。識別情報の適否は、例えば利用者IDが有効であるかどうかや、入力されたパスワードが登録されているパスワードに一致しているかどうかで判定する。
【0011】
そして、認証結果出力手段は、通信手段が前記上位装置から受信した認証結果が操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する。すなわち、識別情報、または生体情報のどちらが適正でなくても、認証要求の送信からの経過時間が待機時間に達するまで、認証不可にかかる認証結果を出力しない。したがって、この待機時間をある程度の長さの時間(上位装置との通信時間、識別情報による認証時間、および生体情報による認証時間の総和よりも少し長い時間)に設定しておけば、認証不可にかかる認証結果が出力されたタイミングから、識別情報、または生体情報のどちらが不適正であったのかを、操作者が判断することはできない。言い換えれば、利用者になりすましている操作者は、認証不可にかかる認証結果が出力されても、識別情報、または生体情報のどちらが不適正であったのか判断できない。このため、利用者になりすましている操作者を、利用者本人であると誤認証するのを十分に防止できる。また、カード等の媒体を使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証するので、利用者の利便性も向上できる。
【0012】
また、利用開始時に、操作者に対して同意画面を表示手段で表示し、操作者の同意が得られなかった場合に、利用を中止するようにしてもよい。この同意画面では、例えば、「認証不可のときには、生体情報を記録保存することがある。」や、「顔画像を撮像し、記録保存することがある。」等の規約を提示すればよい。これにより、利用者になりすましている操作者に対して、心理的な威嚇を与え、不正行為を抑止することができる。
【0013】
また、通信手段が上位装置から受信した認証結果が操作者の認証不可であれば、操作者を撮像手段で撮像し、この撮像画像を保存するようにしてもよい。
【0014】
さらに、認証結果出力手段は、通信手段が上位装置から受信した認証結果が操作者の認証可であれば、待機時間に達するのを待つことなく、今回の認証結果を出力する構成とればよい。これにより、操作者が利用者本人である場合に、この利用者の待ち時間を無駄に増加させることもない。
【0015】
なお、上位装置は、待機時間に関係なく、受信した認証要求に基づいて利用者を認証し、その認証結果を返信する構成であってもよいし、待機時間経過後に認証結果を返信する構成であってもよい。
【発明の効果】
【0016】
この発明によれば、利用者になりすましている操作者を、利用者本人であると誤認証するのを十分に防止できる。また、カード等の媒体を使用しないで、生体認証だけで操作者が利用者本人であるかどうかを認証するので、利用者の利便性も向上できる。
【発明を実施するための最良の形態】
【0017】
以下、この発明の実施形態について説明する。
【0018】
図1は、この発明にかかる認証システムを適用した取引処理システムの概要を示す図である。この取引処理システムは、複数の現金自動預け払い機1(以下、ATM1と言う)と、上位装置3と、を備えている。ATM1は、金融機関の店舗や、コンビニエンスストア等に設置される。上位装置3は、金融機関のセンタに設置される。各ATM1は、公衆回線や専用回線等で構築されたネットワーク5を介して上位装置3に接続している。操作者は、ATM1を操作して、金融機関に開設されている口座に対して出金取引、入金取引、振替取引等の取引が行える。
【0019】
図2は、ATMの主要部の構成を示すブロック図である。ATM1は、主制御部10と、表示・操作部11と、紙幣処理部12と、硬貨処理部13と、カード・明細書処理部14と、通帳処理部15と、生体情報読取部16と、記憶部17と、通信部18と、顧客検知部19と、撮像部20と、を備えている。このATM1は、キャッシュカード(以下、単にカードと言う。)を使用するカード有り取引、およびカードを使用しないカード無し取引で、各種取引が行える。カード無し取引は、予めカード無し取引の利用を登録する必要がある。言い換えれば、カード無し取引の利用を登録していない利用者は、カード無し取引が行えない。
【0020】
なお、カード有り取引にかかる処理は、公知のATMと同様である。
【0021】
主制御部10は、ATM1本体各部の動作を制御する。表示・操作部11は、本体正面に設けた表示器、およびこの表示器の画面上に貼付したタッチパネルを有している。表示・操作部11は、操作者に対する操作案内画面を表示器に表示する。また、表示・操作部11は、タッチパネルの押下位置を検知することにより、操作者の入力操作を受け付ける。
【0022】
紙幣処理部12は、本体正面に設けた紙幣入出金口と、本体内部に収納されている紙幣カートリッジと、の間に形成した紙幣搬送路に沿って紙幣を搬送する。また、紙幣処理部12は、紙幣搬送路に沿って搬送している紙幣毎に、金種、および真偽を鑑別する紙幣鑑別部を有している。紙幣鑑別部は、紙幣から読み取った磁気パターンや、透過光パターン等に基づいて真偽および金種を鑑別する。硬貨処理部13は、本体正面に設けた硬貨入出金口と、本体内部に収納されている硬貨カートリッジと、の間に形成された硬貨搬送路に沿って硬貨を搬送する。また、硬貨処理部13は、硬貨搬送路に沿って搬送している硬貨毎に、金種、および真偽を鑑別する硬貨鑑別部を有している。
【0023】
カード・明細書処理部14は、本体正面に設けたカード挿入口に挿入されたカードを取り込み、このカードの磁気ストライプに記録されているカード情報(金融機関番号、店舗番号、口座番号等の情報)の読み取りや、書き換え等も行う。また、挿入されたカードがICカードである場合には、必要に応じて、そのカードのICチップに記録されているデータの読み取りや、書き換えも行う。ICチップには、このカードの所有者である利用者本人の生体情報(登録情報)等が記録されている。さらに、カード・明細書処理部14は、取引内容を明細書に印字する印字部(不図示)を有する。カード・明細書処理部14は、取引内容を印字した明細書を本体正面に設けた明細書放出口に放出する。
【0024】
通帳処理部15は、本体正面に設けた通帳挿入口に挿入された通帳を取り込み、この通帳に対して取引履歴を印字する印字部(不図示)を有している。また、通帳処理部15は、取り込んだ通帳のページを捲るページ捲り機構や、通帳に印刷されているページ番号を示すバーコードを読み取るバーコードリーダ、通帳に貼付されている磁気ストライプに記録されている通帳情報(金融機関番号、店舗番号、口座番号等)を読み取る磁気ヘッド等も有している。
【0025】
また、生体情報読取部16は、本体正面に設けた生体情報読取センサを有している。この生体情報読取センサは、操作者の指静脈パターンを読み取る。ここでは、生体情報読取センサは、指静脈を読み取るセンサであるが、掌紋、虹彩、網膜等の他の種類の生体情報を読み取るセンサであってもよい。生体情報読取部16は、生体情報読取センサで読み取った操作者の生体情報(読取情報)と、カードのICチップに記録されている生体情報(登録情報)と、を照合し、その類似度から操作者がカード所有者(利用者本人)であるかどうかを認証する生体認証機能も有している。
【0026】
記憶部17は、ハードディスク等の記憶媒体を有し、この記憶媒体に各種情報を記憶する。この記憶媒体は、自ATM1が設置されている店舗を示す店舗番号、自ATM1を識別する機器番号、自ATM1のネットワークアドレス、ネットワーク5を介して接続される上位装置3や他の機器のネットワークアドレス等を記憶する。また、この記憶媒体は、利用者の認証結果を出力するタイミングを制限する待機時間や、カード無し取引にかかる規約文書、さらには、処理した取引にかかる取引ログ等も記憶する。この待機時間は、システムの管理者が任意に設定できる。
【0027】
通信部18は、ネットワーク5を介した上位装置3との通信を制御する。顧客検知部19は、本体正面を検知エリアとする近接センサを有し、この近接センサによって、装置本体正面に位置する操作者の有無を検知する。撮像部20は、ATM1本体を操作している操作者の顔を略正面から撮像する向きに取り付けたカメラを有する。ATM1は、必要に応じて、撮像部20のカメラの撮像画像を取り込み、この撮像画像を記憶部17の記憶媒体に記憶する。
【0028】
図3は、上位装置の主要部の構成を示すブロック図である。上位装置3は、主制御部30と、管理情報記憶部31と、通信部32と、を備えている。主制御部30は、上位装置3本体各部の動作を制御する。管理情報記憶部31は、後述する各種管理情報を記憶する。通信部32は、ネットワーク5を介したATM1との通信を制御する。
【0029】
管理情報記憶部31は、運用時に使用する運用データや、利用者を管理する利用者データ等を記憶する。運用データには、会員通番、ログ通番、生体認証閉塞制限回数、本人認証閾値、および本人近似閾値等が含まれている(図4参照)。会員通番は、カード無し取引が行える利用者の人数を示すデータである。この会員通番は、カード無し取引の利用者を登録する毎に1カウントアップされる。ログ通番は、カード無し取引における利用者の認証結果の出力件数(言い換えれば、カード無し取引における利用者の認証要求の件数)を示すデータである。ログ通番は、認証結果を出力する毎に1カウントアップされる。生体認証閉塞制限回数は、カード無し取引における生体認証の認証結果によって、対応する口座の閉塞を制限するデータである。この生体認証閉塞制限回数は、システムの管理者が任意に設定できる。本人認証閾値は、生体認証で操作者を利用者本人であると判定する類似度の閾値レベルを示すデータである。本人近似閾値は、生体認証で操作者を確実に利用者本人でないと判定する類似度の閾値レベルである。本人認証閾値は、本人近似閾値よりも高い。生体認証における類似度が、本人認証閾値を超えていれば操作者を利用者本人であると認証し、本人認証閾値を超えていなければ操作者を利用者本人でないと認証する。ただし、生体認証における類似度が、本人認証閾値を超えておらず、且つ本人近似閾値を超えている場合は、操作者が利用者本人であるかどうか認証できないグレーゾーンとして処理する。
【0030】
また、利用者データは、図5に示すように、利用者毎に、その利用者の会員通番、会員番号、パスワード、生体情報(テンプレート)、利用可否、生体認証失敗回数、および口座情報(店舗コード、科目、口座番号、名義)等を対応付けたデータである。会員通番は、カード無し取引の利用者として登録したときに、この利用者に割り当てた番号である。会員番号は、利用者を識別する利用者識別IDである。この会員番号は、システムが自動的に利用者に割り当てる構成であってもよいし、利用者に携帯電話の電話番号等を割り当てる構成であってもよい。パスワードは、登録時等に利用者が指定した所定桁数の番号である。パスワードは、英数字にしてもよい。生体情報(テンプレート)は、利用者の認証に用いる生体情報の登録データである。利用可否は、カード無し取引のサービス利用可否を示すデータであり、「利用可」、「閉塞」、「警告」の3種類のいずれかに設定される。「利用可」は、カード無し取引のサービスが利用できる状態であることを示す。「閉塞」は、口座を閉塞している状態、すなわち、カード無し取引のサービスが利用できない状態であることを示す。「警告」は、第三者による不正利用の可能性が発見された場合であり、この状態はシステム管理者が設定する。また、「警告」の場合は、カード無し取引のサービスが利用できない状態である。生体認証失敗回数は、生体認証の失敗回数のカウント値であり、生体認証における類似度が本人近似閾値を超えていない場合に1カウントアップされる。また、生体認証失敗回数は、生体認証における類似度が本人認証閾値を超えた場合にリセットされる。上位装置3は、生体認証における類似度が、本人認証閾値を超えておらず、且つ本人近似閾値を超えていた場合は、生体認証失敗回数を保持する。口座情報は、この会員番号に対応する口座が開設されている金融機関の店舗を示す店舗コード、この口座の科目、この口座の口座番号、この口座の名義等を示す情報である。
【0031】
また、管理情報記憶部31は、開設されている口座毎に、その口座に対する取引履歴や、現在の口座残高等を含む口座管理データも記憶している。
【0032】
次に、この取引処理システムの動作について説明する。この取引処理システムでは、上述したように、利用者は、カード有り取引、およびカード無し取引が行える。図5に示した利用者データに口座情報が登録されていない口座については、カード無し取引は行えない。図6は、ATMの動作を示すフローチャートである。ATM1は、図7に示す取引選択画面を表示・操作部11に表示し(s1)、操作者による取引種別の選択を待つ(s2)。ATM1は、操作者による取引種別の選択を受け付けると、選択された取引がカード無し取引以外(カード有り取引)であれば、今回選択された種別の取引(カード有り取引)を処理する(s3、s5)。s5では、必要に応じて、カード・明細書処理部14でカードを受け付ける。s5におけるカード有り取引は、公知のATMと同様であるので、ここでは説明を省略する。ATM1は、今回選択された取引を処理すると、s1に戻る。
【0033】
また、ATM1は、s3でカード無し取引が選択された場合、後述するカード無し取引処理を実行し(s4)、s1に戻る。
【0034】
図8、および図9は、カード無し取引処理を示すフローチャートである。ATM1は、カード無し取引の利用にかかる規約に対して、操作者に同意を求める同意画面(図10参照)を表示・操作部11に表示し(s11)、カード無し取引の利用にかかる規約に同意するかどうかの選択入力を待つ(s12)。このATM1では、防犯上の理由から、s11でカード無し取引の利用にかかる規約の同意画面を表示している。具体的には、カード無し取引では、誰もが操作することが可能であるため、不正な取引に備えてATMの操作履歴情報を多く蓄積することが望ましい。しかし、生体情報などの個人情報を利用者に無断で収集することは適当でない。そこで、この同意画面で、「認証不可のときには、生体情報を記録保存することがある。」や、「顔画像を撮像し、記録保存することがある。」等の規約を先に表示する。これにより、他人の口座に対して不正に取引を実行しようとしている操作者(利用者になりすましている操作者)に対して、心理的な威嚇を与え、不正行為を抑止することができる。ATM1は、操作者が同意しない旨の選択を行うと、本処理を終了する。
【0035】
ATM1は、操作者がカード無し取引の規約に同意する旨の選択を行うと、取引種別の選択画面(図11参照)を表示・操作部11に表示し(s13)、操作者による取引種別の選択を待つ(s14)。ATM1は、今回のカード無し取引における取引種別の選択を受け付けると、会員番号入力画面(図12参照)を表示・操作部11に表示し(s15)、会員番号の入力を受け付ける(s16)。ATM1は、会員番号の入力を受け付けると、パスワード入力画面(図13参照)を表示・操作部11に表示し(s17)、パスワードの入力を受け付ける(s18)。ATM1は、パスワードの入力を受け付けると、生体情報の提示要求画面(図14参照)を表示・操作部11に表示し(s19)、操作者が生体情報読取部16の生体情報読取センサに指を載せるのを待つ(s20)。ATM1は、操作者が生体情報読取部16の生体情報読取センサに指を載せると、生体情報の読取を開始するとともに、生体情報の読取中画面(図15参照)を表示・操作部11に表示する(s21、s22)。ATM1は、生体情報の読取が完了すると、生体情報の読取完了画面(図16参照)を表示・操作部11に表示する(s23、s24)。ATM1は、生体情報の読取が完了すると、認証処理を実行する(s24、25)。この認証処理は、操作者が利用者本人であるかどうかを認証する処理である。
【0036】
なお、ここでは、取引種別、会員番号、パスワード、生体情報の順番に入力するとしたが、この順番は、どのような順番であってもよい。
【0037】
図17は、s25にかかる認証処理を示すフローチャートである。ATM1は、認証中画面(図18参照)を表示・操作部11に表示する(s41)。また、ATM1は、認証要求電文を生成し(s42)、これを上位装置3に送信する(s43)。また、ATM1は、今回の認証要求電文の送信からの経過時間を計測するタイマをスタートさせる(s44)。
【0038】
s42で生成する認証要求電文には、自ATM1が設置されている店舗を示す店舗番号、自ATM1を識別する機器番号、今回入力された取引種別、会員番号、パスワード、生体情報等が含まれている。ATM1は、上位装置3からの認証結果を受信すると(s45)、本処理を終了する。
【0039】
ここで、上位装置3における操作者の認証処理について説明する。図19、および図20は、上位装置における、操作者の認証処理を示すフローチャートである。上位装置3は、ATM1からカード無し取引にかかる操作者の認証要求を受信すると(s51)、この認証要求に含まれている会員番号が適正であるかどうかを判定する(s52)。s52では、この会員番号が利用者データに登録されているかどうかによって、適正であるかどうかを判定する。
【0040】
上位装置3は、s52で会員番号が適正であると判定すると、今回受信した認証要求に含まれているパスワードが適正であるかどうかを判定する(s53)。s53では、s52で適正であると判定した会員番号に対応付けられているパスワード(利用者データに登録されているパスワード)と、今回受信した認証要求に含まれているパスワードと、が一致していれば適正であると判定し、一致していなければ不適正であると判定する。
【0041】
上位装置3は、s53でパスワードが適正であると判定すると、当該利用者に対するカード無し取引の利用可否が「利用可」、「閉塞」、「警告」のいずれであるかを判断する(s54、s55)。上位装置3は、当該利用者に対するカード無し取引の利用可否が「利用可」であると判定すると、今回受信した認証要求に含まれている操作者の生体情報と、利用者データとして記憶している該当する利用者の生体情報(テンプレート)と、を照合し、その類似度を算出する(s56)。上位装置3は、s56で算出した生体情報の類似度が、運用データに登録されている本人認証閾値を超えているかどうかを判定する(s57)。上位装置3は、s57で本人認証閾値を超えていると判定すると、当該利用者について記憶している生体認証失敗回数をリセットし(s58)、認証可にかかる応答電文を生成する(s59)。
【0042】
また、上位装置3は、s57で生体情報の類似度が、本人認証閾値を超えていないと判定すると、s56で算出した生体情報の類似度が、運用データに登録されている本人近似閾値を超えているかどうかを判定する(s60)。上位装置3は、s60で、本人近似閾値を超えていると判定すると、認証不可にかかる応答電文を生成する(s61)。このとき、上位装置3は、当該利用者について記憶している生体認証失敗回数をリセットしたり、カウントアップすることはない。
【0043】
また、上位装置3は、s60で生体情報の類似度が、本人近似閾値を超えていないと判定すると、当該利用者について記憶している生体認証失敗回数を1カウントアップする(s62)。上位装置3は、当該利用者について記憶している生体認証失敗回数(s62で1カウントアップされた回数)が、運用データに登録されている閉塞回数以上であるかどうかを判定する(s63)。上位装置3は、s63で、生体認証失敗回数が閉塞回数以上でないと判定すると、s61で認証不可にかかる応答電文を生成する。一方、上位装置3は、s63で、生体認証失敗回数が閉塞回数以上であると判定すると、当該利用者に対するカード無し取引の利用可否を「利用可」から「閉塞」に更新する(s64)。上位装置3は、カード無し取引の利用が「閉塞」であることを通知する応答電文を生成する(s65)。
【0044】
また、上位装置3は、s52で会員番号が適正でないと判定した場合、または、s53でパスワードが適正でないと判定した場合には、s61で認証不可にかかる応答電文を生成する。また、上位装置3は、s55で当該利用者に対するカード無し取引の利用可否が「警告」であると判定すると(s55で「閉塞」でないと判定すると)、今回認証要求を送信してきたATM1が設置されている店舗に設置されている監視装置(不図示)に対して、不正利用者にかかる警告通知を行い(s66)、s61で認証不可にかかる応答電文を生成する。さらに、上位装置3は、s55で当該利用者に対するカード無し取引の利用可否が「閉塞」であると判定すると、s65で、カード無し取引の利用が「閉塞」であることを通知する応答電文を生成する。
【0045】
上位装置3は、今回認証要求を送信してきATM1に対して、s59、s61、またはs65で生成した応答電文を認証結果として送信する(s67)。
【0046】
また、上位装置3は、上述した、認証処理を行う毎に、その認証処理のログを管理情報記憶部31に記憶する。例えば、「ログ通番」、「認証電文受信日時」、「店舗番号」、「機器番号」、「取引通番」、「入力会員番号」、「入力パスワード」、「利用可否状況」、「生体認証結果」、「会員通番」、「入力生体情報」等の項目をログデータとして記憶する。「ログ通番」は、今回の利用者認証処理に与えたシリアル番号であり、利用者認証処理を行う毎に1カウントアップされる。「認証電文受信日時」は、ATM1からの認証処理要求を受信した日時である。「店舗番号」「機器番号」「取引通番」「入力会員番号」「入力パスワード」「入力生体情報」は、ATM1から受診した利用者認証要求に含まれていた情報である。「利用可否状況」は、上述したs54、s55、s63の判定結果による、「利用可」、「閉塞」、または「警告」のいずれかである。「生体認証結果」は、生体認証における判定結果であり、認証可、認証不可(近似)、または、認証不可である。「会員通番」は、今回の認証処理の対象になった利用者の会員通番である。
【0047】
ATM1は、s45で、上位装置3から認証結果を受信したと判定すると、s25にかかる認証処理を完了する。ATM1は、今回上位装置3から通知された認証結果が認証可であるかどうかを判定する(s26)。ATM1は、s26で認証可であると判定すると、認証結果通知画面(図21参照)を表示・操作部11に表示する(s27)。図21に示すように、認証結果が認証可であったときには、認証できた旨の文言を表示するほか、認証された利用者の口座情報を表示する。ATM1は、操作者による確認入力があると(s28)、出金金額や入金金額等を含む取引内容の入力を受け付け(s29)、その取引内容に基づいて出金取引や入金取引等を処理する(s30)。ここでは、操作者の認証結果が認証可であったとき、認証結果通知画面で、その利用者の口座情報を表示するとしたが、この口座情報については、特に表示しなくてもよいし、s14で選択を受け付けた取引種別に応じて表示、非表示を切り替えてもよい。例えば、出金取引では非表示とし、入金取引では表示としてもよい。
【0048】
なお、ATM1は、s29で取引内容の入力を受け付けるときに、公知のカード有り取引と同様に、暗証番号を入力させる構成としてもよいが、すでに、操作者の本人認証が完了しているので、この暗証番号の入力を不要にし、操作者の操作性を向上させるほうが好ましい。また、上位装置3が、認証結果が認証可であった場合、口座残高等も応答電文に含めてATM1に通知することによって、s30で処理する取引の取引可否をATM1側で判定できるようにしてもよい。
【0049】
また、ATM1は、s26で認証可でないと判定すると、撮像部20が撮像している操作者の顔画像を取り込み(s31)、この顔画像と、今回読み取った操作者の生体情報を対応付けて、記憶部17に記憶する(s32)。また、ATM1は、s44でスタートさせたタイマが、設定されている待機時間に達するのを待つ(s33)。この待機時間は、操作者の認証処理におけるATM1と上位装置3との通信時間、上位装置3における会員番号、およびパスワード(この発明で言う識別情報)による認証時間、および生体情報による認証時間の総和よりも少し長い時間(例えば、3〜5s程度)に設定される。ATM1は、s33で待機時間に達したと判定すると、上位装置3からの認証結果である応答電文が、認証不可にかかる応答電文であるか、カード無し取引の利用可否が「閉塞」であることを通知する応答電文であるかを判定する(s34)。ATM1は、s33で、認証不可にかかる応答電文であると判定すると、認証不可であったことを通知する認証結果通知画面(図22参照)を表示・操作部11に表示する(s35)。
【0050】
図22に示すように、認証結果が認証不可であったときには、認証不可であった旨の文言を表示するが、認証不可となった原因(会員番号が存在しなかったのか、パスワードが間違っていたのか、または指静脈認証が失敗したのか)については表示しない。また、この認証結果を出力するタイミングは、上述したように待機時間によって制限されている。したがって、ATM1の利用者は、認証不可になった原因を、認証結果通知画面や、この認証結果の出力タイミングから判断することはできない。すなわち、利用者になりすまし、他人の口座に対して不正に取引を行おうとしている操作者に、認証不可となった原因が知られるのを防止できる。
【0051】
ATM1は、操作者による、リトライ、または中止にかかる入力を待つ(s36、s37)。ATM1は、リトライにかかる入力がなされると、s15に戻り上述した処理を繰り返す。反対に中止にかかる入力がなされると、本処理を終了する。
【0052】
なお、リトライ回数に上限(例えば、5回)を設けておき、その上限に達した場合には、認証不可であったこと、および取引中止を通知する認証結果通知画面(図23参照)を表示・操作部11に一定時間表示し、本処理を終了するようにしてもよい。
【0053】
ATM1は、s33で、カード無し取引の利用可否状況が「閉塞」であることを通知する応答電文であると判定すると、カード無し取引の利用可否状況が「閉塞」であることを通知する認証結果通知画面(図24参照)を表示・操作部11に一定時間表示し(s38)、本処理を終了する。
【0054】
なお、ATM1は、上記処理の途中で、操作者が取引中止にかかる入力を行ったときには、その時点で、本処理を終了する。
【0055】
このように、この取引処理システムでは、利用者はカードを使用することなく、入金取引や出金取引が行えるので、利用者の利便性を向上させることができる。また、利用者になりすまし、他人の口座に対して不正に取引を行おうとしている操作者に、認証不可となった原因が知られるのを防止できる。したがって、利用者の会員番号や、パスワードが他人に漏洩するのを防止でき、セキュリティの向上が図れる。
【0056】
また、操作者が利用者になりすましている可能性があるときには、ATM1が、この操作者の顔画像を撮像した撮像画像、および生体情報を対応付けて記憶するので、セキュリティの一層の向上が図れる。
【0057】
また、ATM1は、操作者の認証結果が認証可であったときには、待機時間に関係なく、上位装置3から認証結果を受信するとすぐに出力するので、利用者を無駄に待たせることもない。
【0058】
また、上記の説明では、ATM1が、待機時間を用いて、認証結果を出力するタイミングを制限するとしたが、上位装置3が、この待機時間経過するのを待って、認証結果をATM1に通知するように構成してもよい。この場合には、ATM1は、認証結果を受信すると、すぐに、この認証結果を出力すればよい。
【0059】
また、利用者本人がカード無し取引を、一時的に利用禁止に設定できる構成としてもよい。この場合、利用禁止が設定されている口座については、利用状況が警告であるときと同様の処理を行えばよい。
【0060】
なお、本願発明は、上述した取引処理システムに限らず、操作者が利用者本人であるかどうかを認証するシステムであれば、他のシステム、例えば入退室管理システム、にも適用可能である。
【図面の簡単な説明】
【0061】
【図1】取引処理システムの概要を示す図である。
【図2】ATMの主要部の構成を示す図である。
【図3】上位装置の主要部の構成を示す図である。
【図4】運用データを示す図である。
【図5】利用者データを示す図である。
【図6】ATMの動作を示すフローチャートである。
【図7】表示・操作部における表示画面例を示す図である。
【図8】カード無し取引を示すフローチャートである。
【図9】カード無し取引を示すフローチャートである。
【図10】表示・操作部における表示画面例を示す図である。
【図11】表示・操作部における表示画面例を示す図である。
【図12】表示・操作部における表示画面例を示す図である。
【図13】表示・操作部における表示画面例を示す図である。
【図14】表示・操作部における表示画面例を示す図である。
【図15】表示・操作部における表示画面例を示す図である。
【図16】表示・操作部における表示画面例を示す図である。
【図17】認証処理を示すフローチャートである。
【図18】表示・操作部における表示画面例を示す図である。
【図19】上位装置の動作を示すフローチャートである。
【図20】上位装置の動作を示すフローチャートである。
【図21】表示・操作部における表示画面例を示す図である。
【図22】表示・操作部における表示画面例を示す図である。
【図23】表示・操作部における表示画面例を示す図である。
【図24】表示・操作部における表示画面例を示す図である。
【符号の説明】
【0062】
1−現金自動預け払い機(ATM)
3−上位装置
5−ネットワーク
10−主制御部
11−表示・操作部
16−生体情報読取部
17ー記憶部
18−通信部
20−撮像部
30−主制御部
31−管理情報記憶部
32−通信部
【特許請求の範囲】
【請求項1】
利用者を識別する識別情報の入力を受け付ける識別情報入力手段と、
操作者の生体情報を読み取る生体情報読取手段と、
前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する通信手段と、
前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する認証結果出力手段と、を備えた利用者認証端末。
【請求項2】
利用開始時に、操作者に対して同意画面を表示する表示手段と、
操作者の同意が得られなかった場合に、利用を中止する利用中止手段と、を備えた、請求項1に記載の利用者認証端末。
【請求項3】
前記通信手段が前記上位装置から受信した認証結果が認証不可であれば、操作者を撮像する撮像手段を備えた請求項1、または2に記載の利用者認証端末。
【請求項4】
前記認証結果出力手段は、前記通信手段が前記上位装置から受信した認証結果が操作者を利用者本人であると認証している認証可であれば、前記待機時間に達するのを待つことなく、今回の認証結果を出力する手段である、請求項1〜3のいずれかに記載の利用者認証端末。
【請求項5】
複数の利用者認証端末をネットワークを介して上位装置に接続した認証システムにおいて、
前記利用者認証端末は、
利用者を識別する識別情報の入力を受け付ける識別情報入力手段と、
操作者の生体情報を読み取る生体情報読取手段と、
前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する通信手段と、
前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する認証結果出力手段と、を備え、
前記上位装置は、
利用者毎に、利用者の識別情報と、その利用者の生体情報と、を対応付けて記憶する利用者情報記憶手段と、
前記利用者認証端末から操作者の認証要求を受信したときに、この認証要求に含まれている識別情報が適正であるかどうか、および、この認証要求に含まれている生体情報と、前記利用者情報記憶部が今回認証要求を受信した利用者について記憶している生体情報と、を照合し、その類似度が予め定めた認証レベルを超えているかどうかによって、操作者が利用者本人であるかどうかを認証する利用者認証手段と、
前記利用者認証手段における認証結果を前記利用者認証端末に通知する認証結果通知手段と、を備えている、
認証システム。
【請求項6】
前記上位装置は、
前記認証結果通知手段が、前記利用者認証手段における認証結果が認証不可であれば、前記利用者認証端末からの操作者の認証要求を受信してからの経過時間が前記待機時間に達するのを待って、前記利用者認証手段における認証結果を前記利用者認証端末に通知する手段である、請求項5に記載の認証システム。
【請求項7】
識別情報入力手段で、利用者を識別する識別情報の入力を受け付ける第1のステップと、
生体情報読取手段で、操作者の生体情報を読み取る第2のステップと、
通信手段が、前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する第3のステップと、
認証結果出力手段が、前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する第4のステップと、を備えた利用者認証方法。
【請求項8】
操作者が利用者本人であるかどうかを認証する利用者認証端末を、
利用者を識別する識別情報の入力を受け付ける識別情報入力手段、
操作者の生体情報を読み取る生体情報読取手段、
前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する通信手段、および、
前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する認証結果出力手段、として機能させる利用者認証プログラム。
【請求項1】
利用者を識別する識別情報の入力を受け付ける識別情報入力手段と、
操作者の生体情報を読み取る生体情報読取手段と、
前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する通信手段と、
前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する認証結果出力手段と、を備えた利用者認証端末。
【請求項2】
利用開始時に、操作者に対して同意画面を表示する表示手段と、
操作者の同意が得られなかった場合に、利用を中止する利用中止手段と、を備えた、請求項1に記載の利用者認証端末。
【請求項3】
前記通信手段が前記上位装置から受信した認証結果が認証不可であれば、操作者を撮像する撮像手段を備えた請求項1、または2に記載の利用者認証端末。
【請求項4】
前記認証結果出力手段は、前記通信手段が前記上位装置から受信した認証結果が操作者を利用者本人であると認証している認証可であれば、前記待機時間に達するのを待つことなく、今回の認証結果を出力する手段である、請求項1〜3のいずれかに記載の利用者認証端末。
【請求項5】
複数の利用者認証端末をネットワークを介して上位装置に接続した認証システムにおいて、
前記利用者認証端末は、
利用者を識別する識別情報の入力を受け付ける識別情報入力手段と、
操作者の生体情報を読み取る生体情報読取手段と、
前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する通信手段と、
前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する認証結果出力手段と、を備え、
前記上位装置は、
利用者毎に、利用者の識別情報と、その利用者の生体情報と、を対応付けて記憶する利用者情報記憶手段と、
前記利用者認証端末から操作者の認証要求を受信したときに、この認証要求に含まれている識別情報が適正であるかどうか、および、この認証要求に含まれている生体情報と、前記利用者情報記憶部が今回認証要求を受信した利用者について記憶している生体情報と、を照合し、その類似度が予め定めた認証レベルを超えているかどうかによって、操作者が利用者本人であるかどうかを認証する利用者認証手段と、
前記利用者認証手段における認証結果を前記利用者認証端末に通知する認証結果通知手段と、を備えている、
認証システム。
【請求項6】
前記上位装置は、
前記認証結果通知手段が、前記利用者認証手段における認証結果が認証不可であれば、前記利用者認証端末からの操作者の認証要求を受信してからの経過時間が前記待機時間に達するのを待って、前記利用者認証手段における認証結果を前記利用者認証端末に通知する手段である、請求項5に記載の認証システム。
【請求項7】
識別情報入力手段で、利用者を識別する識別情報の入力を受け付ける第1のステップと、
生体情報読取手段で、操作者の生体情報を読み取る第2のステップと、
通信手段が、前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する第3のステップと、
認証結果出力手段が、前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する第4のステップと、を備えた利用者認証方法。
【請求項8】
操作者が利用者本人であるかどうかを認証する利用者認証端末を、
利用者を識別する識別情報の入力を受け付ける識別情報入力手段、
操作者の生体情報を読み取る生体情報読取手段、
前記識別情報入力手段に入力された識別情報、および前記生体情報読取手段が読み取った生体情報を含む、操作者の本人認証を要求する認証要求を上位装置に送信し、その認証結果を受信する通信手段、および、
前記通信手段が前記上位装置から受信した認証結果が、操作者を利用者本人であると認証していない認証不可であれば、今回の認証要求の送信からの経過時間が予め定めた待機時間に達した後に、今回の認証結果を出力する認証結果出力手段、として機能させる利用者認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【公開番号】特開2010−152506(P2010−152506A)
【公開日】平成22年7月8日(2010.7.8)
【国際特許分類】
【出願番号】特願2008−327865(P2008−327865)
【出願日】平成20年12月24日(2008.12.24)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成22年7月8日(2010.7.8)
【国際特許分類】
【出願日】平成20年12月24日(2008.12.24)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]