認証用デバイス更新システム及び認証用デバイス更新方法
【課題】生体認証において用いられる認証用デバイスの更新時における安全性を向上させることが可能な技術を提供することを目的とする。
【解決手段】認証用デバイス更新システムは、利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するためのシステムである。認証用デバイス更新システムは、生体認証の後に実行される処理の履歴である処理履歴を記憶する処理履歴記憶部と、生体認証の履歴である認証履歴を記憶する認証履歴記憶部と、旧認証用デバイスを用いた生体認証の後に実行された処理についての処理履歴と、旧認証用デバイスを用いた生体認証についての認証履歴と、に基づき認証用デバイスの更新の可否を判断する更新判断部と、を備えている。
【解決手段】認証用デバイス更新システムは、利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するためのシステムである。認証用デバイス更新システムは、生体認証の後に実行される処理の履歴である処理履歴を記憶する処理履歴記憶部と、生体認証の履歴である認証履歴を記憶する認証履歴記憶部と、旧認証用デバイスを用いた生体認証の後に実行された処理についての処理履歴と、旧認証用デバイスを用いた生体認証についての認証履歴と、に基づき認証用デバイスの更新の可否を判断する更新判断部と、を備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、生体認証において用いられる認証用デバイスを更新する技術に関する。
【背景技術】
【0002】
近年、キャッシュカードやクレジットカードのセキュリティ確保のために、指の静脈パターンや虹彩の皺のパターンなどの利用者の身体的特徴部分の情報(生体情報)を利用して本人認証を行う、いわゆる生体認証が行われることがある。この生体認証のために、キャッシュカード等に搭載されたIC(Integrated Circuit)内のメモリや磁気ストライプ等に、予め利用者の生体情報が登録されることがある。
【0003】
このように予め利用者の生体情報を記憶したカードを新たなカードに更新する場合に、有人窓口において申請内容の正当性検証や本人確認を行うと、事務手続きが大変面倒であり、また、利用者に大きな負担を強いることとなる。そこで、利用者の生体情報を記憶したカードを、無人で更新する更新方法が提案されている(下記特許文献1参照)。
【0004】
【特許文献1】特開2006−195591号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来におけるカード更新方法では、更新しようとする新カードが正しく発行されたカードであることが確認され、また、生体認証が成功した場合に更新処理が実行されていた。このような更新方法では、例えば、以下のような問題のある場合においてもなんら審査等を行わずにカードが更新されてしまうという課題があった。すなわち、旧カードを盗用していた悪意者がなんらかの方法で正規な新カードを手に入れて更新する場合や、指等の怪我をして一時的に生体的特徴が変わってしまった本人が更新する場合や、過去に何度も操作ミスを犯しており操作方法について説明する必要がある利用者が更新する場合などである。
【0006】
なお、上記の問題は、登録された生体情報がカードに代えて他の記憶装置に記憶されている場合においても、当該カードを更新する場合に発生し得る。また、キャッシュカードやクレジットカードに限らず、例えばキャッシュ機能付きの携帯電話機など、生体認証において用いられ得る任意の認証用デバイスを更新する際に、上記問題は発生し得る。
【0007】
本発明は、生体認証において用いられる認証用デバイスの更新時における安全性を向上させることが可能な技術を提供すること目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新システムであって、前記生体認証の後に実行される処理の履歴である処理履歴を記憶する処理履歴記憶部と、前記生体認証の履歴である認証履歴を記憶する認証履歴記憶部と、前記旧認証用デバイスを用いた生体認証の後に実行された前記処理についての前記処理履歴と、前記旧認証用デバイスを用いた生体認証についての前記認証履歴と、に基づき前記認証用デバイスの更新の可否を判断する更新判断部と、を備える、認証用デバイス更新システム。
【0010】
適用例1の認証用デバイス更新システムでは、処理履歴と認証履歴とに基づき、認証用デバイスの更新の可否を判断するので、これらの履歴から、悪意者が旧認証用デバイスを利用しているケースや、正当利用者の怪我等により生体情報が一時的に変わったケースや、正当利用者が操作に不慣れであるケース等を判断することができ、かかる場合に認証用デバイスの更新を行わないことで安全性を高めることができる。
【0011】
[適用例2]適用例1に記載の認証用デバイス更新システムであって、さらに、前記利用者から前記生体情報を検出する生体情報検出部と、前記検出された生体情報を記憶する検出生体情報格納部と、前記検出された生体情報と予め登録されている登録生体情報とを照合して、前記生体認証を実行する生体認証実行部と、前記認証用デバイスにアクセス可能な認証用デバイスアクセス部と、を備え、前記認証用デバイスは、前記登録生体情報を記憶可能な登録生体情報格納部を有し、前記認証用デバイスアクセス部は、前記生体認証が成功し、かつ、前記更新が可能であると判断された場合に、前記検出生体情報格納部に記憶されている生体情報を新たな登録生体情報として前記登録生体情報格納部に登録する、認証用デバイス更新システム。
【0012】
このようにすることで、更新が可能であると判断された場合に、更新可否の判断前に検出した生体情報を新認証用デバイスにおける登録生体情報として用いることができる。したがって、利用者の最近の生体情報を登録生体情報とすることができ、過去に登録した生体情報を登録生体情報として生体認証を行う場合に比べて、身体的特徴の経年変化による正当利用者による認証失敗の可能性を低くすることができる。
【0013】
[適用例3]適用例1または適用例2に記載の認証用デバイス更新システムにおいて、前記更新判断部は、前記認証履歴のうち、前記生体認証の最終失敗時期に関する情報に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【0014】
このようにすることで、最終失敗時期に関する情報に基づいて利用者の利用状況を想定して更新の可否を判断することができる。例えば、最終失敗時期が最近であれば、悪意者の利用や利用者の身体の怪我等を想定して更新不可能と判断することもできる。
【0015】
[適用例4]適用例1ないし適用例3のいずれか一項に記載の認証用デバイス更新システムにおいて、前記更新判断部は、前記認証履歴のうち、前記生体認証を連続して失敗した回数に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【0016】
このようにすることで、連続して失敗した回数に基づいて利用者の利用状況を想定して更新の可否を判断することができる。例えば、連続失敗回数が多い場合には、悪意者による更新の試行や、正当利用者の生体情報が怪我等を理由に変形したようなケースを想定して更新不可能と判断することもできる。
【0017】
[適用例5]適用例1ないし適用例4のいずれか一項に記載の認証用デバイス更新システムにおいて、前記処理は、現金取引処理である、認証用デバイス更新システム。
【0018】
このようにすることで、現金取引処理において実行される生体認証で用いられる認証用デバイスを、安全性を確保しつつ自動的に更新することができる。
【0019】
[適用例6]適用例1ないし適用例5のいずれか一項に記載の認証用デバイス更新システムにおいて、前記認証用デバイスは、ICカードである、認証用デバイス更新システム。
【0020】
このようにすることで、ICカードを更新する際の安全性を向上させることができる。
【0021】
[適用例7]利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新方法であって、前記旧認証用デバイスを用いた生体認証の後に実行された処理の履歴である処理履歴と、前記旧認証用デバイスを用いた生体認証についての履歴である認証履歴と、に基づき、前記認証用デバイスの更新の可否を判断する工程を備える、認証用デバイス更新方法。
【0022】
適用例7の認証用デバイス更新方法では、処理履歴と認証履歴とに基づき、認証用デバイスの更新の可否を判断するので、これらの履歴から、悪意者が旧認証用デバイスを利用しているケースや、正当利用者の怪我等により生体情報が一時的に変わったケースや、正当利用者が操作に不慣れであるケース等を判断することができ、かかる場合に認証用デバイスの更新を行わないことで安全性を高めることができる。
【発明を実施するための最良の形態】
【0023】
A.実施例:
A1.システム構成:
図1は、本発明の実施例における認証用デバイス更新システムとしてのICカード更新システムの構成を示す説明図である。ICカード更新システム1000は、ホストコンピュータ200と、ATM(Automatic Teller Machine)100と、営業店サーバ150と、LAN(Local Area Network)120とを備えている。これらのうち、ホストコンピュータ200は、サービス提供者の本店に設置されている。また、ATM100と営業店サーバ150とは、営業店内に設置されており、互いにLAN120で接続されている。そして、ホストコンピュータ200とLAN120とは、専用線等の広域ネットワーク125を介して互いに接続されている。
【0024】
ホストコンピュータ200は、CPU210と、メモリ212と、各利用者の取引履歴を記録した取引履歴DB(データベース)201と、カード管理DB202とを備えている。カード管理DB202の詳細については後述する。CPU210は、メモリ212に記憶されている更新制御用プログラムを読み出して実行することで、更新制御部210aとして機能することとなる。
【0025】
ATM100は、回線接続部10と、静脈パターン読取部20と、表示部30と、CPU40と、メモリ50と、カードリーダ/ライタ60とを備えている。回線接続部10は、LAN120と接続するためのインタフェース群である。静脈パターン読取部20は、CCD(Charge Coupled Devices)カメラ(図示省略)を備えており、利用者の指を撮像して静脈パターンを検出する。表示部30は、タッチパネルを有し、メニュー画面や各種ガイダンス画面を表示したりする。メモリ50は、ROM(Read Only Memory)やRAM(Random Access Memory)から構成されており、検出パターン格納部52を備えている。この検出パターン格納部52は、静脈パターン読取部20において検出された静脈パターンを一時的に記憶するのに用いられる。カードリーダ/ライタ60は、ICカード90を挿入可能に構成されており、挿入されたICカード90に搭載されているIC95から情報を読み出したり、IC95に情報を書き込んだりする。
【0026】
CPU40は、メモリ50に記憶されている制御用プログラムを読み出して実行することで、認証実行部40aとして機能する。同様に、CPU40は、更新判断部40b,更新部40c及びユーザインタフェース(UI)制御部40dとして機能する。認証実行部40aは、静脈パターンを用いた生体認証を実行する。更新判断部40bは、更新しようとするICカード90が更新可能か否かを判断する。更新部40cは、ICカード90の更新を実行する。UI制御部40dは、表示部30を制御して、メニュー画面やガイダンス画面を表示させる。
【0027】
なお、前述のICカード90は、請求項における認証用デバイスに相当する。また、取引履歴DB201は請求項における処理履歴記憶部に、静脈パターン読取部20は請求項における生体情報検出部に、検出パターン格納部52は請求項における検出生体情報格納部に、カードリーダ/ライタ60は請求項における認証用デバイスアクセス部に、それぞれ相当する。
【0028】
A2.認証履歴及び取引履歴:
上記構成を有するICカード更新システム1000は、キャッシュカードを用いた現金の取引を行う。具体的には、営業店に訪れた利用者は、自己のキャッシュカードとしてのICカード90をカードリーダ/ライタ60に挿入した上で、表示部30に表示されたメニュー画面(図示省略)に従って、現金の引き出しや振込み等を実行することができる。このとき、セキュリティ確保のために利用者の指の静脈パターンを利用した生体認証が実行される。
【0029】
具体的には、表示部30に表示されるガイダンス画面(図示省略)に従い、利用者が登録している指(ひと差し指や中指等)を静脈パターン読取部20に載せると、静脈パターン読取部20は、かかる利用者の指を撮像して静脈パターンを検出する。なお、ICカード更新システム1000では、生体認証において用いる指として予め2本まで登録することができ、いずれの指を認証に使用するかを利用者が取引の都度選択できる。認証実行部40aは、IC95に予め登録されている本人の静脈パターンと、検出された静脈パターンとを比較して照合率(一致率)を得る。照合率が閾値以上の場合には本人認証が成功したものとして、取引実行部(図示省略)によって要求された処理(引き出しや振込み等)が実行される。このときの認証の履歴はIC95及びホストコンピュータ200内の取引履歴DB201に記録される。また、取引の履歴は取引履歴DB201に記憶される。なお、生体認証において照合率が閾値よりも低い場合には、再試行のガイダンス画面(図示省略)が表示部30に表示される。このガイダンス画面に従って利用者が再度登録されている指を静脈パターン読取部20に載せると、静脈パターンの検出及び認証が再度実行される。2回目においても照合率が閾値よりも低い場合には、本人認証は失敗したものとして取引が終了し、認証エラーの履歴がIC95及び取引履歴DB201に記録される。
【0030】
図2は、図1に示す取引履歴DB201の内容を示す説明図である。図2では、利用者ID「12345678」についての取引履歴を主として示している。取引履歴DB201では、各利用者IDについて、取引が行われる度に履歴が追記される。履歴としては、「取引種別」,「件数」,「認証成功」,「使用した指」,「成功の連続性」,「(成功の)最終発生日」,「認証失敗」,「失敗の連続性」,「(連続失敗の)最終発生日」が記録されている。ここで、「取引種別」とは、現金の引き出し(普通 出)や、振込みのための出金(振込 出)などを意味する。「件数」とは、総取引件数を意味する。「認証成功」とは、生体認証が成功して現金取引の処理を行った回数を意味する。「使用した指」とは、認証用に登録した指(静脈パターン)が複数ある場合にいずれの指を使用して認証したかを示す。本実施例では、使用指「1」は「人差指」を示し、使用指「2」は「中指」を示す。「成功の連続性」とは、認証失敗することなしに連続して認証が成功した最大の回数を意味する。また、「認証失敗」とは、生体認証に失敗して現金取引の処理を行わずに終了した回数を意味する。「失敗の連続性」とは、認証成功することなしに連続して認証が失敗した最大の数を意味する。
【0031】
図2の例では、例えば、利用者ID「12345678」の現金引き出し(普通 出)については、総取引件数が「2468」であり、そのうち人差指を用いて認証成功した回数は「2456」であり、中指を用いて認証成功した回数は「10」である。なお、認証成功の最終日は、人差指が「2008/3/12」で、中指が「2007/2/3」である。一方、認証失敗の回数は2回あり(認証失敗=2)、この2回が連続して発生していることを示す(失敗連続性=1)。なお、2回目の認証失敗の発生日は「2007/1/23」である。
【0032】
図3は、IC95に記録される認証履歴情報の内容を示す説明図である。なお、図3では、図2に示す利用者ID「12345678」の利用者についての認証履歴情報を示す。認証履歴情報85では、総照合回数の他、照合結果ごとの要因や件数や最終発生日が記録されている。この認証履歴情報85は、生体認証が実行される都度追記されていく。
【0033】
認証履歴情報85における「総照合回数」とは、認証後の取引の種類(引き出しや振込み等)や使用した指の種類に関わらず、生体認証の総実行回数を意味する。したがって、図2における利用者ID「12345678」の総件数(図2:2468+987)に一致している。「照合エラー(単発)」とは、1回目は照合率が閾値よりも低かったが2回目は閾値以上であったケースを意味する。前述のように、このケースでは認証は成功する。「照合エラー(連続)」とは、1回目も2回目も照合率が閾値よりも低く認証失敗となったケースを意味する。前述のように、このケースでは認証は失敗する。「要因」における「指相違」とは、照合率が0%に近いケース(例えば1%以下であったケース)を意味する。これは、照合率が0%に近い場合、登録している指とは異なる指を用いて認証が行われた可能性が高いため、「指相違」として記録する。これに対して「要因」における「操作不適切」とは、照合率が0%よりも十分に大きな値であるが、閾値よりも低いケースを意味する。このようなケースは、例えば、登録されている正規な指で認証を試みたが、指の置き具合等によって静脈パターンが適切に検出されなかったこと等によって起こり得る。なお、前述の取引履歴DB201(図2)では、認証失敗が2回発生したことが記録されているが、これは、2回連続して照合率が閾値よりも低いケースが2回発生したことを意味し、図3において照合エラー(連続)が4回カウントされていることに合致している。なお、「照合キャンセル」とは、生体認証中において利用者がメニュー画面から取引のキャンセルを選択したため照合をキャンセルした回数を意味する。
【0034】
上述した現金の取引の他、ICカード更新システム1000は、後述するカード更新処理を実行することで、キャッシュカードとして用いられるICカード90を無人で更新できるように構成されている。
【0035】
A3.カード更新処理:
カードが破損した場合や有効期限が切れる前などにおいて、利用者からカードの更新申請を受けると、サービス提供者は更新用の新たなカードを発行する。そして、サービス提供者は、カード管理DB202(図1)に新たなカードについてのエントリを追加し、発行した新たなカードを利用者に送る。
【0036】
図4は、図1に示すカード管理DB202の内容を示す説明図である。カード管理DB202では、各利用者IDごとに、現行(旧)カード及び新カードのそれぞれについて「カードNo.」,「登録区分」,「有効期限」が登録される。ここで、「カードNo.」は、発行されるカードごとに一意となるように付与される識別番号である。「登録区分」は、カードの登録状況を示す情報である。具体的には、登録区分「0」は発行済みであるが未登録(未更新)であることを示す。また、登録区分「1」は新規登録済みであることを、登録区分「2」は無人更新済みであることを、それぞれ示す。図4の例では、利用者ID「12345678」について、現行カードとして、カードNo.が「A1234」のカードが2007/1/23に新規登録済みである。ここで、この利用者ID「12345678」はカードの更新の申請を行ったため、更新用の新たなカード(カードNo.=B9876)についてのエントリが追加されている。このエントリを追加した時点では後述するカードの更新処理がなされていないので、登録区分は「0」となっている。なお、ユーザID「98765432」については、更新の申請がなされていないため、更新用カードについてのエントリは追加されていない。
【0037】
図5は、旧カード及び新カードにそれぞれ記憶される情報を示す説明図である。図5において、左側は旧カード90pを示し、右側は新カード90nを示す。なお、旧カード90pは、利用者ID「12345678」の利用者(図4参照)に対してサービスの契約後に最初に発行された現行カード(カードNo.=A1234)である。また、新カード90nは、上述した更新申請によって、利用者ID「123456578」の利用者に対して新たに発行されたカード(カードNo.=B9876)である。なお、図1では、これら2枚のカード90p,90nを代表して「ICカード90」として表わしている。
【0038】
旧カード90pに搭載されたIC95pは、基本情報格納部82pと、認証履歴情報格納部84pと、登録パターン格納部86pとを備えている。基本情報格納部82pには、カードNo.(A1234)と、利用者ID(12345678)と、登録区分(1)と、有効期限(2008/3/21)と、が記録されている。旧カード90pのカードNo.と利用者IDと登録区分と有効期限とについては、旧カード90pが発行された際に予め記録されている。なお、「登録区分」は、図4に示す登録区分と同じである。
【0039】
認証履歴情報格納部84pには、前述の認証履歴情報85(図3)が記録されている。登録パターン格納部86p(図5)には、生体認証において参照される静脈パターンの情報(登録パターン)87が記憶されている。この登録パターン87は、旧カード90pが発行されて利用者に郵送されてきた後に利用者がATM100を使って登録することができる。なお、これに代えて、予め契約時等において静脈パターンを検出しておき、旧カード90p発行の際に予め登録パターン格納部86pに格納しておくこともできる。
【0040】
新カード90nに搭載されたIC95nは、IC95pと同様に、基本情報格納部82nと、認証履歴情報格納部84nと、登録パターン格納部86nとを備えている。基本情報格納部82nには、カードNo.(B9876)と、利用者ID(12345678)と、登録区分(0)と、有効期限(2013/3/21)と、が記録されている。ここで、利用者IDは、利用者ごとに設定されるので、旧カード90pと同じIDが設定されている。登録区分は前述のように未登録を示す「0」が設定されている。また、有効期限として新たな期限が設定されている。
【0041】
なお、前述の認証履歴情報格納部84p,84nは、請求項における認証履歴記憶部に相当する。また、登録パターン格納部86p,86nは、請求項における登録生体情報格納部に相当する。
【0042】
利用者は、これら新旧2枚のカードを持って営業店を訪れ、ATM100(図1)を使って旧カード90pを無効とし、新カード90nを有効とするカードの更新処理を行うことができる。具体的には、利用者は、ATM100の表示部30に表示されたメニュー画面(図示省略)から「カード更新」メニューを選択する。そうすると、表示部30に旧カードの挿入を促すガイダンス画面(図示省略)が表示される。利用者が旧カードをカードリーダ/ライタ60に挿入すると、ICカード更新システム1000において、カード更新処理が開始される。
【0043】
図6は、ICカード更新システム1000において実行されるカード更新処理の手順を示す第1のフローチャートである。図7は、ICカード更新システム1000において実行されるカード更新処理の手順を示す第2のフローチャートである。なお、図6における「A」は図7における「A」に続いている。同様に、図6における「B」は図7における「B」に続いている。
【0044】
カード更新処理が開始されると、カードリーダ/ライタ60(図1)は、旧カード90p(図5)のIC95pから全ての情報を読み取ってメモリ50(図1)に記憶する(ステップS105)。UI制御部40dは、登録されている指を静脈パターン読取部20に挿入を促すガイダンス画面を表示部30に表示させる(ステップS110)。静脈パターン読取部20は、挿入された指から静脈パターンを検出して、検出パターン格納部52に記憶させる(ステップS115)。認証実行部40aは、検出された静脈パターンと、ステップS105においてIC95p(図5)から読み取った登録パターン87とを照合して本人認証を実行し(ステップS120)、認証が成功したか否かを判定する(ステップS125)。
【0045】
ステップS125において認証が失敗したと判断された場合、認証実行部40a(図1)は、カードリーダ/ライタ60を制御して認証履歴情報85に履歴を追記する(ステップS205)。その後、更新部40cは、前述のステップS115において検出パターン格納部52に記憶した静脈パターンを消去する(図7:ステップS210)。UI制御部40dは、更新が出来なかった旨、及び有人窓口への来店を促す旨のガイダンス画面(図示省略)を表示部30に表示させ(ステップS215)、カード更新処理が終了する。
【0046】
一方、前述のステップS125において、認証成功したと判定された場合、更新判断部40bは、ホストコンピュータ200に対し取引履歴の送信を要求する(ステップS130)。このとき、更新判断部40bは、旧カード90pのIC95pから読み取った利用者IDも併せてホストコンピュータ200に送信する。図5の例では、利用者IDとして「12345678」が送信されることとなる。
【0047】
ホストコンピュータ200(図1)において、更新制御部210aは、起動後において取引履歴送信要求を受信するまで待機している(ステップS305)。更新制御部210aは、利用者IDと共に取引履歴送信要求を受信すると(ステップS310)、受信した利用者IDをキーとして取引履歴DB201を検索し、該当する利用者IDについての取引履歴をATM100に送信する(ステップS315)。
【0048】
上述したように、利用者ID「12345678」を受信した場合、更新制御部210aは、取引履歴DB201(図2)を参照して、ID「12345678」についてのすべての履歴情報をATM100に送信する。
【0049】
ATM100において、更新判断部40bは、取引履歴情報を受信すると(ステップS135)、更新可否判断処理を実行する(ステップS140)。
【0050】
図8は、更新可否判断処理(ステップS140)の詳細手順を示すフローチャートである。更新判断部40b(図1)は、ステップS135で取得した取引履歴情報(図2)に基づき、認証失敗の回数が取引全体の回数の10%未満であるか否かを判定する(ステップS405)。認証失敗が多く取引全体の回数の10%以上である場合には、旧カードは悪意者によって使用されている可能性が高いため、この場合には、更新不可能であると判断して(ステップS440)、処理が終了する。
【0051】
前述の利用者ID「12345678」の利用者の例(図2)では、総取引回数「3455」に対して認証失敗回数は「4」であり10%未満である。この場合、更新判断部40bは、取引履歴情報を参照して、連続失敗回数が2回未満であるか否かを判定する(ステップS410)。認証失敗回数が少ない場合であっても連続して失敗している場合には、悪意者による利用や正当利用者が指を怪我しているケースなどが想定される。そこで、更新判断部40bは、連続失敗回数が2回以上である場合には、連続失敗の最終発生日が直近1ヶ月以内であるか否かを判定する(ステップS430)。
【0052】
連続失敗の最終発生日が直近の1ヶ月以内である場合には、正当利用者が最近指を怪我したケースや、悪意の第三者が旧カードの使用を開始したケースが想定される。後述するように更新時の指の静脈パターンを新カードに登録することとなるため、正当利用者が指を怪我している場合には、怪我が回復した場合に照合エラーとなるおそれがある。また、悪意の第三者によるカードの更新を回避しなければならない。そこでこの場合、更新不可能と判断する(ステップS440)。
【0053】
一方、前述のステップS430において、連続失敗の最終発生日が直近1ヶ月よりも前である場合には、認証操作に当初不慣れであったケースや、以前指に怪我をしていたが現在は回復している等のケースが想定される。この場合、更新判断部40bは、旧カード90pのIC95pに記憶されている認証履歴情報85を参照して、照合エラーの回数が総照合回数の10%未満であるか否かを判定する(ステップS415)。なお、前述のステップS410において、連続失敗回数が2回未満であると判定した場合にも、このステップS415の処理が実行される。なお、前述の利用者ID「12345678」の利用者の例(図2)では、連続失敗回数は「1」なので、このステップS415が実行される。
【0054】
ここで、照合エラーは、取引履歴DB201において「認証成功」と記録されるケースにおいても発生し得る。2回連続して照合エラーとならない限り、取引履歴DB201においては、「認証成功」とカウントされるからである。ここで、1回目に照合エラーとなった場合に2回目の照合を行うことなくキャンセルして、悪意者が何度も生体認証を試みているケースが想定される。したがって、照合エラー回数が多く総照合回数の10%以上である場合には、認証自体の成功率は高くても悪意者の利用が否定できない。また、正当利用者が操作ミスによって頻繁に照合エラーを起こしている場合には、操作方法について説明する必要がある。そこで、この場合、更新判断部40bは、照合エラーの最終発生日が直近の半年以内であるか否かを判定する(ステップS435)。
【0055】
前述の利用者ID「12345678」の利用者の例(図3)では、照合エラー回数は、361(12+345+4)であるので、総照合回数(3455)の10%以上である。したがって、この場合、ステップS435が実行される。
【0056】
照合エラーの最終発生日が直近の半年以内である場合には、悪意者による生体認証の試行が考えられる。また、正当利用者が現在もなお操作方法に不慣れであるケースも想定される。そこで、この場合、更新不可能であると判断して(ステップS440)、処理が終了する。一方、照合エラーの最終発生日が半年よりも前である場合(ステップS435:NO)には、正当利用者が認証操作に当初不慣れであったが現在は問題がないケースが想定される。そこで、この場合、更新判断部40bは、認証履歴情報85を参照して指相違の失敗により現金取引がなされずに終了したケースの有無を判定する(ステップS420)。すなわち、「照合エラー(連続)」において、「指相違」の件数が0であるか否かを判定する。
【0057】
なお、前述のステップS415において、照合エラー回数が総照合回数の10%未満である場合にもこのステップS420が実行される。指相違による照合エラーが連続して起きた場合には、たとえ照合エラーの回数が少なく総照合回数の10%未満であっても(ステップS415:YES)、悪意者の利用の可能性は否定できない。そこで、指相違による照合エラーが連続して起きた場合(ステップS420:NO)には、更新不可能であると判断して(ステップS440)、処理が終了する。一方、指相違による照合エラーが連続して発生していない(ステップS420:YES)には、更新可能であると判断して(ステップS425)、更新可否判断処理が終了する。
【0058】
前述の利用者ID「12345678」の利用者の例(図3)では、照合エラーの最終発生日は、2007/11/22であり、現在が2008/6/30とすると直近半年よりも前であるので、ステップS420が実行されることとなる。そして、指相違による照合エラーの連続回数は「0」であるので、更新可能と判断される(ステップS425)。
【0059】
図6に戻って、上述した更新可否判断処理が終了すると、更新部40cは、更新判断部40bによって更新が可能と判断されたか否かを判定する(ステップS145)。更新不可能と判断された場合には(図8:ステップS440,図6ステップS145:NO)、前述のステップS210,S215(図7)が実行され、カード更新処理が終了する。
【0060】
一方、前述のステップS145(図6)において、更新可能と判断された場合には、更新部40c(図1)は、カードリーダ/ライタ60に挿入されている旧カード90pを無効化して排出する(ステップS150)。具体的には、旧カード90p(図5)のIC95pに記録されている全ての情報を消去してから排出する。UI制御部40d(図1)は、カードリーダ/ライタ60への新カードの挿入を促すガイダンス画面(図示省略)を表示部30に表示させる(ステップS155)。
【0061】
表示部30に表示されたガイダンス画面に従って、利用者が新カード90nをカードリーダ/ライタ60に挿入すると、カードリーダ/ライタ60(図1)は、新カード90nのIC95nから全ての情報を読み取ってメモリ50に記憶する(ステップS160)。更新部40cは、ホストコンピュータ200に対して、カードリーダ/ライタ60に挿入されたカードの正当性判断を要求する(ステップS165)。このとき、更新判断部40bは、利用者IDの他、旧カード90pのカードNo.及び新カード90nのカードNo.も併せてホストコンピュータ200に送信する。
【0062】
前述の利用者ID「12345678」の例(図5)では、利用者ID(12345678)と、カードNo.(A1234,B9876)とがホストコンピュータ200に送信されることとなる。
【0063】
ホストコンピュータ200において、更新制御部210aは、上述したステップS315(図6)を実行した後において、正当性判断要求を受信するまで待機している(ステップS320)。更新制御部210aは、正当性判断要求を受信すると(ステップS325)、受信した利用者IDと、新/旧カードのカードNo.とに基づき、カード管理DB202を参照して、新カードが更新用として正規に発行されたカードであるか否かを判断する(ステップS330)。
【0064】
上述したように、カード管理DB202(図4)には、利用者ID「12345678」について、カードNo.が「B9876」の更新用カードのエントリがある。したがって、更新制御部210aは、受信した利用者ID「12345678」とカードNo.(A1234,B9876)とに基づき、新カード90nが正当なカードであると判断する。
【0065】
更新制御部210aは、新カードの正当性を判断すると、その判断結果をATM100に送信する(図6:ステップS335)。
【0066】
ATM100において、更新部40cは、ホストコンピュータ200から正当性判断結果を受信すると(ステップS170)、判断結果が「正当である」であったか否かを判定する(図7:ステップS175)。正当でないとの判断がされた場合には、カードリーダ/ライタ60は、挿入されているカードを排出する(ステップS205)。その後、上述したステップS210,S215が実行されてカード更新処理が終了する。
【0067】
一方、前述のステップS175において、正当性判断結果が正当であると判定すると、更新部40cは、カードリーダ/ライタ60を制御して、検出パターン格納部52に格納されている静脈パターンを新カード90nの登録パターン格納部86nに書き込んで新たに登録する(ステップS180)。その後、更新部40cは、検出パターン格納部52に記憶した静脈パターンを消去し(ステップS185)、カードリーダ/ライタ60が新カード90nを排出して(ステップS190)、カード更新処理が終了する。
【0068】
以上説明したカード更新処理により、正当な利用者による正当な新カードへの更新が可能となる。また、更新可否の判断において、取引履歴DB201に格納されている取引履歴に基づいて判断するので、取引全体からみた取引成功又は失敗の状況を分析して悪意者の利用や正当利用者の指の怪我等を想定することができ、これらのケースでは、自動的なカード更新を行わないようにすることができる。したがって、悪意者が更新した新カードを入手することを抑制でき、また、怪我により一時的に変形した正当利用者の静脈パターンが新カードに登録されてしまうことを抑制することができる。また、更新可否の判断において、旧カード90pに記憶されている認証履歴情報85に基づいて判断するので、取引履歴には現れない悪意者による巧妙な更新の試行や、正当利用者が操作に不慣れであるような場合に自動的なカード更新を行わないようにすることができる。したがって、悪意者が更新した新カードを入手することを抑制でき、また、操作が不慣れな正当利用者に対し、有人窓口への来店を促して操作方法を説明することができる。このように、ICカード更新システム1000を用いることで、窓口において審査や説明が必要な利用者については自動更新を行わないようにすることができ、また、審査や説明の必要のない利用者については自動更新を実行するので、適切なケースにおいて自動的にキャッシュカードを更新することができる。
【0069】
B.変形例:
なお、上記各実施例における構成要素の中の、独立クレームでクレームされた要素以外の要素は、付加的な要素であり、適宜省略可能である。また、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0070】
B1.変形例1:
上述した実施例では、取引履歴DB201に記録されている情報は、主として取引の成功/失敗に関する情報であったが、これに代えて、又は、これと共に取引額や各取引間の時間間隔などを記録することもできる。そして、これら取引額や各取引間の時間間隔などを考慮して更新可否判断処理(図6:ステップS140,図8)を実行することもできる。具体的には、例えば、或る一定期間内において、所定額以上の振込みが所定回数以上行われた場合には、更新可否とすることもできる。このようにすることで、例えば、振込み詐欺等による被害の有無を窓口において確認することができる。すなわち、一般には、現金取引における任意の取引履歴に基づきキャッシュカードの更新可否を判断する構成を、本発明の認証用デバイス更新システムに採用することができる。
【0071】
B2.変形例2:
上述した実施例では、静脈パターンを用いた生体認証は、現金取引における本人認証のために行われるものであったが、これに代えて、他の処理における本人認証のために行うものとすることができる。例えば、入退室を行う際における本人認証や、コンピュータの使用における本人認証のためなどに生体認証を行うこともできる。すなわち、一般には、任意の処理における本人認証のために静脈パターンを用いた生体認証を行う構成を、本発明の認証用デバイス更新システムに採用することができる。
【0072】
B3.変形例3:
上述した実施例では、生体認証で用いる生体情報は指の静脈パターンであったが、本発明はこれに限定されるものではなく、利用者の生体的な特徴を示す任意の生体情報を用いる構成とすることができる。例えば、指紋や、手のひらの静脈パターンや、虹彩の皺のパターン等を生体情報として用いる構成とすることができる。
【0073】
B4.変形例4:
上述した実施例では、更新対象物は、キャッシュカードであったが、これに代えて、クレジットカードを採用することもできる。また、これらカードに限らず、USBメモリ等の記憶媒体を採用することもできる。また、携帯電話機などの記憶媒体を内蔵する機器を更新対象物として採用することもできる。すなわち、一般には、生体認証において用いられる任意のデバイス(記憶媒体や記憶媒体内蔵機器)を更新対象物とする構成を、本発明の認証用デバイス更新システムに採用することができる。
【0074】
B5.変形例5:
上述した実施例では、認証履歴情報85は、旧カード90pのIC95pに格納されていたが、これに代えて、旧カード90p内の他の部分に格納することもできる。例えば、旧カード90pが磁気ストライプ(図示省略)を備えている場合には、かかる磁気ストライプに格納しておくこともできる。また、認証履歴情報85を、ICカード90p内の記憶装置に格納することに代えて、他の任意の装置に格納しておくこともできる。例えば、ATM100(図1)が備えるメモリ50に格納することもできる。また、営業店サーバ150内のメモリ(図示省略)や、ホストコンピュータ200内のメモリ212に格納することもできる。なお、カード管理DB202もホストコンピュータ200内に格納することに代えて、他の装置内に格納することもできる。例えば、営業店サーバ150内に格納することもできる。すなわち、一般には、処理履歴を記憶する処理履歴記憶部と、認証履歴を記憶する認証履歴記憶部を、任意の装置が備える構成を、本発明の認証用デバイス更新システムにおいて採用することができる。
【0075】
B6.変形例6:
上述した実施例の更新可否判断処理(図8)では、ステップS405において、更新不可能と判断する際の規準となる数値は、取引全体の「10%」であったが、これに代えて、任意の値とすることができる。同様にして、ステップS410における連続失敗回数(2回)や、ステップS430における期間(1ヶ月)等、更新可否判断処理の各ステップにおいて用いられる判断基準数値は、任意の値とすることができる。
【0076】
B7.変形例7:
上述した実施例では、ATM100は、営業店サーバ150を介してホストコンピュータ200と情報のやりとりを行っていたが、営業店サーバ150を介さず直接情報のやりとりを行う構成とすることもできる。また、キャッシュカードの更新は、ATM100で実行していたが、更新用の専用機(図示省略)をLAN120に接続し、かかる専用機において実行させることもできる。また、更新可否のみATM100において実行し、更新自体(すなわち、旧カード90pのIC95pから情報を消去し、新カード90nに静脈パターンを登録する処理自体)は、他の専用機において実行させることもできる。
【0077】
B8.変形例8:
上述した実施例では、カード更新処理における本人認証のために生体認証を行っていたが(ステップS120)、生体認証と共に暗証番号を用いた本人認証を実行することもできる。また、新カードが正当と判断され(図7ステップS175:YES)、検出パターン格納部52に格納されている静脈パターンをIC95pに書き込む前に、再度利用者から静脈パターンを検出して、検出パターン格納部52に格納されている静脈パターンと照合することもできる。そして、照合が成功した場合に、検出パターン格納部52内の静脈パターンをIC95pに書き込むようにすることもできる。このようにすることで、正当な利用者であるにも関わらず認証が失敗し得るような静脈パターンを新カード90nに新たに登録することを避けることができる。
【0078】
B9.変形例9:
上述した実施例では、新カード90nに登録する静脈パターンは、カード更新処理のステップS115において検出パターン格納部52に記憶した静脈パターンであったが、これに代えて、旧カード90pに登録されている登録パターン87(図5)を登録することもできる。
【0079】
B10.変形例10:
上述した実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えるようにしてもよい。
【図面の簡単な説明】
【0080】
【図1】本発明の実施例における認証用デバイス更新システムとしてのICカード更新システムの構成を示す説明図である。
【図2】図1に示す取引履歴DB201の内容を示す説明図である。
【図3】IC95に記録される認証履歴情報の内容を示す説明図である。
【図4】図1に示すカード管理DB202の内容を示す説明図である。
【図5】旧カード及び新カードにそれぞれ記憶される情報を示す説明図である。
【図6】ICカード更新システム1000において実行されるカード更新処理の手順を示す第1のフローチャートである。
【図7】ICカード更新システム1000において実行されるカード更新処理の手順を示す第2のフローチャートである。
【図8】更新可否判断処理(ステップS140)の詳細手順を示すフローチャートである。
【符号の説明】
【0081】
1000…ICカード更新システム
100…ATM
10…回線接続部
20…静脈パターン読取部
30…表示部
40…CPU
40a…認証実行部
40b…更新判断部
40c…更新部
40d…制御部
50…メモリ
52…検出パターン格納部
60…カードリーダ/ライタ
90…ICカード
95…IC
150…営業店サーバ
120…LAN
125…広域ネットワーク
200…ホストコンピュータ
210…CPU
210a…更新制御部
212…メモリ
201…取引履歴DB
202…カード管理DB
90p…旧カード
95p…IC
82p…基本情報格納部
84p…認証履歴情報格納部
85…認証履歴情報
86p…登録パターン格納部
87…登録パターン
90n…新カード
95n…IC
82n…基本情報格納部
84n…認証履歴情報格納部
86n…登録パターン格納部
【技術分野】
【0001】
本発明は、生体認証において用いられる認証用デバイスを更新する技術に関する。
【背景技術】
【0002】
近年、キャッシュカードやクレジットカードのセキュリティ確保のために、指の静脈パターンや虹彩の皺のパターンなどの利用者の身体的特徴部分の情報(生体情報)を利用して本人認証を行う、いわゆる生体認証が行われることがある。この生体認証のために、キャッシュカード等に搭載されたIC(Integrated Circuit)内のメモリや磁気ストライプ等に、予め利用者の生体情報が登録されることがある。
【0003】
このように予め利用者の生体情報を記憶したカードを新たなカードに更新する場合に、有人窓口において申請内容の正当性検証や本人確認を行うと、事務手続きが大変面倒であり、また、利用者に大きな負担を強いることとなる。そこで、利用者の生体情報を記憶したカードを、無人で更新する更新方法が提案されている(下記特許文献1参照)。
【0004】
【特許文献1】特開2006−195591号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来におけるカード更新方法では、更新しようとする新カードが正しく発行されたカードであることが確認され、また、生体認証が成功した場合に更新処理が実行されていた。このような更新方法では、例えば、以下のような問題のある場合においてもなんら審査等を行わずにカードが更新されてしまうという課題があった。すなわち、旧カードを盗用していた悪意者がなんらかの方法で正規な新カードを手に入れて更新する場合や、指等の怪我をして一時的に生体的特徴が変わってしまった本人が更新する場合や、過去に何度も操作ミスを犯しており操作方法について説明する必要がある利用者が更新する場合などである。
【0006】
なお、上記の問題は、登録された生体情報がカードに代えて他の記憶装置に記憶されている場合においても、当該カードを更新する場合に発生し得る。また、キャッシュカードやクレジットカードに限らず、例えばキャッシュ機能付きの携帯電話機など、生体認証において用いられ得る任意の認証用デバイスを更新する際に、上記問題は発生し得る。
【0007】
本発明は、生体認証において用いられる認証用デバイスの更新時における安全性を向上させることが可能な技術を提供すること目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新システムであって、前記生体認証の後に実行される処理の履歴である処理履歴を記憶する処理履歴記憶部と、前記生体認証の履歴である認証履歴を記憶する認証履歴記憶部と、前記旧認証用デバイスを用いた生体認証の後に実行された前記処理についての前記処理履歴と、前記旧認証用デバイスを用いた生体認証についての前記認証履歴と、に基づき前記認証用デバイスの更新の可否を判断する更新判断部と、を備える、認証用デバイス更新システム。
【0010】
適用例1の認証用デバイス更新システムでは、処理履歴と認証履歴とに基づき、認証用デバイスの更新の可否を判断するので、これらの履歴から、悪意者が旧認証用デバイスを利用しているケースや、正当利用者の怪我等により生体情報が一時的に変わったケースや、正当利用者が操作に不慣れであるケース等を判断することができ、かかる場合に認証用デバイスの更新を行わないことで安全性を高めることができる。
【0011】
[適用例2]適用例1に記載の認証用デバイス更新システムであって、さらに、前記利用者から前記生体情報を検出する生体情報検出部と、前記検出された生体情報を記憶する検出生体情報格納部と、前記検出された生体情報と予め登録されている登録生体情報とを照合して、前記生体認証を実行する生体認証実行部と、前記認証用デバイスにアクセス可能な認証用デバイスアクセス部と、を備え、前記認証用デバイスは、前記登録生体情報を記憶可能な登録生体情報格納部を有し、前記認証用デバイスアクセス部は、前記生体認証が成功し、かつ、前記更新が可能であると判断された場合に、前記検出生体情報格納部に記憶されている生体情報を新たな登録生体情報として前記登録生体情報格納部に登録する、認証用デバイス更新システム。
【0012】
このようにすることで、更新が可能であると判断された場合に、更新可否の判断前に検出した生体情報を新認証用デバイスにおける登録生体情報として用いることができる。したがって、利用者の最近の生体情報を登録生体情報とすることができ、過去に登録した生体情報を登録生体情報として生体認証を行う場合に比べて、身体的特徴の経年変化による正当利用者による認証失敗の可能性を低くすることができる。
【0013】
[適用例3]適用例1または適用例2に記載の認証用デバイス更新システムにおいて、前記更新判断部は、前記認証履歴のうち、前記生体認証の最終失敗時期に関する情報に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【0014】
このようにすることで、最終失敗時期に関する情報に基づいて利用者の利用状況を想定して更新の可否を判断することができる。例えば、最終失敗時期が最近であれば、悪意者の利用や利用者の身体の怪我等を想定して更新不可能と判断することもできる。
【0015】
[適用例4]適用例1ないし適用例3のいずれか一項に記載の認証用デバイス更新システムにおいて、前記更新判断部は、前記認証履歴のうち、前記生体認証を連続して失敗した回数に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【0016】
このようにすることで、連続して失敗した回数に基づいて利用者の利用状況を想定して更新の可否を判断することができる。例えば、連続失敗回数が多い場合には、悪意者による更新の試行や、正当利用者の生体情報が怪我等を理由に変形したようなケースを想定して更新不可能と判断することもできる。
【0017】
[適用例5]適用例1ないし適用例4のいずれか一項に記載の認証用デバイス更新システムにおいて、前記処理は、現金取引処理である、認証用デバイス更新システム。
【0018】
このようにすることで、現金取引処理において実行される生体認証で用いられる認証用デバイスを、安全性を確保しつつ自動的に更新することができる。
【0019】
[適用例6]適用例1ないし適用例5のいずれか一項に記載の認証用デバイス更新システムにおいて、前記認証用デバイスは、ICカードである、認証用デバイス更新システム。
【0020】
このようにすることで、ICカードを更新する際の安全性を向上させることができる。
【0021】
[適用例7]利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新方法であって、前記旧認証用デバイスを用いた生体認証の後に実行された処理の履歴である処理履歴と、前記旧認証用デバイスを用いた生体認証についての履歴である認証履歴と、に基づき、前記認証用デバイスの更新の可否を判断する工程を備える、認証用デバイス更新方法。
【0022】
適用例7の認証用デバイス更新方法では、処理履歴と認証履歴とに基づき、認証用デバイスの更新の可否を判断するので、これらの履歴から、悪意者が旧認証用デバイスを利用しているケースや、正当利用者の怪我等により生体情報が一時的に変わったケースや、正当利用者が操作に不慣れであるケース等を判断することができ、かかる場合に認証用デバイスの更新を行わないことで安全性を高めることができる。
【発明を実施するための最良の形態】
【0023】
A.実施例:
A1.システム構成:
図1は、本発明の実施例における認証用デバイス更新システムとしてのICカード更新システムの構成を示す説明図である。ICカード更新システム1000は、ホストコンピュータ200と、ATM(Automatic Teller Machine)100と、営業店サーバ150と、LAN(Local Area Network)120とを備えている。これらのうち、ホストコンピュータ200は、サービス提供者の本店に設置されている。また、ATM100と営業店サーバ150とは、営業店内に設置されており、互いにLAN120で接続されている。そして、ホストコンピュータ200とLAN120とは、専用線等の広域ネットワーク125を介して互いに接続されている。
【0024】
ホストコンピュータ200は、CPU210と、メモリ212と、各利用者の取引履歴を記録した取引履歴DB(データベース)201と、カード管理DB202とを備えている。カード管理DB202の詳細については後述する。CPU210は、メモリ212に記憶されている更新制御用プログラムを読み出して実行することで、更新制御部210aとして機能することとなる。
【0025】
ATM100は、回線接続部10と、静脈パターン読取部20と、表示部30と、CPU40と、メモリ50と、カードリーダ/ライタ60とを備えている。回線接続部10は、LAN120と接続するためのインタフェース群である。静脈パターン読取部20は、CCD(Charge Coupled Devices)カメラ(図示省略)を備えており、利用者の指を撮像して静脈パターンを検出する。表示部30は、タッチパネルを有し、メニュー画面や各種ガイダンス画面を表示したりする。メモリ50は、ROM(Read Only Memory)やRAM(Random Access Memory)から構成されており、検出パターン格納部52を備えている。この検出パターン格納部52は、静脈パターン読取部20において検出された静脈パターンを一時的に記憶するのに用いられる。カードリーダ/ライタ60は、ICカード90を挿入可能に構成されており、挿入されたICカード90に搭載されているIC95から情報を読み出したり、IC95に情報を書き込んだりする。
【0026】
CPU40は、メモリ50に記憶されている制御用プログラムを読み出して実行することで、認証実行部40aとして機能する。同様に、CPU40は、更新判断部40b,更新部40c及びユーザインタフェース(UI)制御部40dとして機能する。認証実行部40aは、静脈パターンを用いた生体認証を実行する。更新判断部40bは、更新しようとするICカード90が更新可能か否かを判断する。更新部40cは、ICカード90の更新を実行する。UI制御部40dは、表示部30を制御して、メニュー画面やガイダンス画面を表示させる。
【0027】
なお、前述のICカード90は、請求項における認証用デバイスに相当する。また、取引履歴DB201は請求項における処理履歴記憶部に、静脈パターン読取部20は請求項における生体情報検出部に、検出パターン格納部52は請求項における検出生体情報格納部に、カードリーダ/ライタ60は請求項における認証用デバイスアクセス部に、それぞれ相当する。
【0028】
A2.認証履歴及び取引履歴:
上記構成を有するICカード更新システム1000は、キャッシュカードを用いた現金の取引を行う。具体的には、営業店に訪れた利用者は、自己のキャッシュカードとしてのICカード90をカードリーダ/ライタ60に挿入した上で、表示部30に表示されたメニュー画面(図示省略)に従って、現金の引き出しや振込み等を実行することができる。このとき、セキュリティ確保のために利用者の指の静脈パターンを利用した生体認証が実行される。
【0029】
具体的には、表示部30に表示されるガイダンス画面(図示省略)に従い、利用者が登録している指(ひと差し指や中指等)を静脈パターン読取部20に載せると、静脈パターン読取部20は、かかる利用者の指を撮像して静脈パターンを検出する。なお、ICカード更新システム1000では、生体認証において用いる指として予め2本まで登録することができ、いずれの指を認証に使用するかを利用者が取引の都度選択できる。認証実行部40aは、IC95に予め登録されている本人の静脈パターンと、検出された静脈パターンとを比較して照合率(一致率)を得る。照合率が閾値以上の場合には本人認証が成功したものとして、取引実行部(図示省略)によって要求された処理(引き出しや振込み等)が実行される。このときの認証の履歴はIC95及びホストコンピュータ200内の取引履歴DB201に記録される。また、取引の履歴は取引履歴DB201に記憶される。なお、生体認証において照合率が閾値よりも低い場合には、再試行のガイダンス画面(図示省略)が表示部30に表示される。このガイダンス画面に従って利用者が再度登録されている指を静脈パターン読取部20に載せると、静脈パターンの検出及び認証が再度実行される。2回目においても照合率が閾値よりも低い場合には、本人認証は失敗したものとして取引が終了し、認証エラーの履歴がIC95及び取引履歴DB201に記録される。
【0030】
図2は、図1に示す取引履歴DB201の内容を示す説明図である。図2では、利用者ID「12345678」についての取引履歴を主として示している。取引履歴DB201では、各利用者IDについて、取引が行われる度に履歴が追記される。履歴としては、「取引種別」,「件数」,「認証成功」,「使用した指」,「成功の連続性」,「(成功の)最終発生日」,「認証失敗」,「失敗の連続性」,「(連続失敗の)最終発生日」が記録されている。ここで、「取引種別」とは、現金の引き出し(普通 出)や、振込みのための出金(振込 出)などを意味する。「件数」とは、総取引件数を意味する。「認証成功」とは、生体認証が成功して現金取引の処理を行った回数を意味する。「使用した指」とは、認証用に登録した指(静脈パターン)が複数ある場合にいずれの指を使用して認証したかを示す。本実施例では、使用指「1」は「人差指」を示し、使用指「2」は「中指」を示す。「成功の連続性」とは、認証失敗することなしに連続して認証が成功した最大の回数を意味する。また、「認証失敗」とは、生体認証に失敗して現金取引の処理を行わずに終了した回数を意味する。「失敗の連続性」とは、認証成功することなしに連続して認証が失敗した最大の数を意味する。
【0031】
図2の例では、例えば、利用者ID「12345678」の現金引き出し(普通 出)については、総取引件数が「2468」であり、そのうち人差指を用いて認証成功した回数は「2456」であり、中指を用いて認証成功した回数は「10」である。なお、認証成功の最終日は、人差指が「2008/3/12」で、中指が「2007/2/3」である。一方、認証失敗の回数は2回あり(認証失敗=2)、この2回が連続して発生していることを示す(失敗連続性=1)。なお、2回目の認証失敗の発生日は「2007/1/23」である。
【0032】
図3は、IC95に記録される認証履歴情報の内容を示す説明図である。なお、図3では、図2に示す利用者ID「12345678」の利用者についての認証履歴情報を示す。認証履歴情報85では、総照合回数の他、照合結果ごとの要因や件数や最終発生日が記録されている。この認証履歴情報85は、生体認証が実行される都度追記されていく。
【0033】
認証履歴情報85における「総照合回数」とは、認証後の取引の種類(引き出しや振込み等)や使用した指の種類に関わらず、生体認証の総実行回数を意味する。したがって、図2における利用者ID「12345678」の総件数(図2:2468+987)に一致している。「照合エラー(単発)」とは、1回目は照合率が閾値よりも低かったが2回目は閾値以上であったケースを意味する。前述のように、このケースでは認証は成功する。「照合エラー(連続)」とは、1回目も2回目も照合率が閾値よりも低く認証失敗となったケースを意味する。前述のように、このケースでは認証は失敗する。「要因」における「指相違」とは、照合率が0%に近いケース(例えば1%以下であったケース)を意味する。これは、照合率が0%に近い場合、登録している指とは異なる指を用いて認証が行われた可能性が高いため、「指相違」として記録する。これに対して「要因」における「操作不適切」とは、照合率が0%よりも十分に大きな値であるが、閾値よりも低いケースを意味する。このようなケースは、例えば、登録されている正規な指で認証を試みたが、指の置き具合等によって静脈パターンが適切に検出されなかったこと等によって起こり得る。なお、前述の取引履歴DB201(図2)では、認証失敗が2回発生したことが記録されているが、これは、2回連続して照合率が閾値よりも低いケースが2回発生したことを意味し、図3において照合エラー(連続)が4回カウントされていることに合致している。なお、「照合キャンセル」とは、生体認証中において利用者がメニュー画面から取引のキャンセルを選択したため照合をキャンセルした回数を意味する。
【0034】
上述した現金の取引の他、ICカード更新システム1000は、後述するカード更新処理を実行することで、キャッシュカードとして用いられるICカード90を無人で更新できるように構成されている。
【0035】
A3.カード更新処理:
カードが破損した場合や有効期限が切れる前などにおいて、利用者からカードの更新申請を受けると、サービス提供者は更新用の新たなカードを発行する。そして、サービス提供者は、カード管理DB202(図1)に新たなカードについてのエントリを追加し、発行した新たなカードを利用者に送る。
【0036】
図4は、図1に示すカード管理DB202の内容を示す説明図である。カード管理DB202では、各利用者IDごとに、現行(旧)カード及び新カードのそれぞれについて「カードNo.」,「登録区分」,「有効期限」が登録される。ここで、「カードNo.」は、発行されるカードごとに一意となるように付与される識別番号である。「登録区分」は、カードの登録状況を示す情報である。具体的には、登録区分「0」は発行済みであるが未登録(未更新)であることを示す。また、登録区分「1」は新規登録済みであることを、登録区分「2」は無人更新済みであることを、それぞれ示す。図4の例では、利用者ID「12345678」について、現行カードとして、カードNo.が「A1234」のカードが2007/1/23に新規登録済みである。ここで、この利用者ID「12345678」はカードの更新の申請を行ったため、更新用の新たなカード(カードNo.=B9876)についてのエントリが追加されている。このエントリを追加した時点では後述するカードの更新処理がなされていないので、登録区分は「0」となっている。なお、ユーザID「98765432」については、更新の申請がなされていないため、更新用カードについてのエントリは追加されていない。
【0037】
図5は、旧カード及び新カードにそれぞれ記憶される情報を示す説明図である。図5において、左側は旧カード90pを示し、右側は新カード90nを示す。なお、旧カード90pは、利用者ID「12345678」の利用者(図4参照)に対してサービスの契約後に最初に発行された現行カード(カードNo.=A1234)である。また、新カード90nは、上述した更新申請によって、利用者ID「123456578」の利用者に対して新たに発行されたカード(カードNo.=B9876)である。なお、図1では、これら2枚のカード90p,90nを代表して「ICカード90」として表わしている。
【0038】
旧カード90pに搭載されたIC95pは、基本情報格納部82pと、認証履歴情報格納部84pと、登録パターン格納部86pとを備えている。基本情報格納部82pには、カードNo.(A1234)と、利用者ID(12345678)と、登録区分(1)と、有効期限(2008/3/21)と、が記録されている。旧カード90pのカードNo.と利用者IDと登録区分と有効期限とについては、旧カード90pが発行された際に予め記録されている。なお、「登録区分」は、図4に示す登録区分と同じである。
【0039】
認証履歴情報格納部84pには、前述の認証履歴情報85(図3)が記録されている。登録パターン格納部86p(図5)には、生体認証において参照される静脈パターンの情報(登録パターン)87が記憶されている。この登録パターン87は、旧カード90pが発行されて利用者に郵送されてきた後に利用者がATM100を使って登録することができる。なお、これに代えて、予め契約時等において静脈パターンを検出しておき、旧カード90p発行の際に予め登録パターン格納部86pに格納しておくこともできる。
【0040】
新カード90nに搭載されたIC95nは、IC95pと同様に、基本情報格納部82nと、認証履歴情報格納部84nと、登録パターン格納部86nとを備えている。基本情報格納部82nには、カードNo.(B9876)と、利用者ID(12345678)と、登録区分(0)と、有効期限(2013/3/21)と、が記録されている。ここで、利用者IDは、利用者ごとに設定されるので、旧カード90pと同じIDが設定されている。登録区分は前述のように未登録を示す「0」が設定されている。また、有効期限として新たな期限が設定されている。
【0041】
なお、前述の認証履歴情報格納部84p,84nは、請求項における認証履歴記憶部に相当する。また、登録パターン格納部86p,86nは、請求項における登録生体情報格納部に相当する。
【0042】
利用者は、これら新旧2枚のカードを持って営業店を訪れ、ATM100(図1)を使って旧カード90pを無効とし、新カード90nを有効とするカードの更新処理を行うことができる。具体的には、利用者は、ATM100の表示部30に表示されたメニュー画面(図示省略)から「カード更新」メニューを選択する。そうすると、表示部30に旧カードの挿入を促すガイダンス画面(図示省略)が表示される。利用者が旧カードをカードリーダ/ライタ60に挿入すると、ICカード更新システム1000において、カード更新処理が開始される。
【0043】
図6は、ICカード更新システム1000において実行されるカード更新処理の手順を示す第1のフローチャートである。図7は、ICカード更新システム1000において実行されるカード更新処理の手順を示す第2のフローチャートである。なお、図6における「A」は図7における「A」に続いている。同様に、図6における「B」は図7における「B」に続いている。
【0044】
カード更新処理が開始されると、カードリーダ/ライタ60(図1)は、旧カード90p(図5)のIC95pから全ての情報を読み取ってメモリ50(図1)に記憶する(ステップS105)。UI制御部40dは、登録されている指を静脈パターン読取部20に挿入を促すガイダンス画面を表示部30に表示させる(ステップS110)。静脈パターン読取部20は、挿入された指から静脈パターンを検出して、検出パターン格納部52に記憶させる(ステップS115)。認証実行部40aは、検出された静脈パターンと、ステップS105においてIC95p(図5)から読み取った登録パターン87とを照合して本人認証を実行し(ステップS120)、認証が成功したか否かを判定する(ステップS125)。
【0045】
ステップS125において認証が失敗したと判断された場合、認証実行部40a(図1)は、カードリーダ/ライタ60を制御して認証履歴情報85に履歴を追記する(ステップS205)。その後、更新部40cは、前述のステップS115において検出パターン格納部52に記憶した静脈パターンを消去する(図7:ステップS210)。UI制御部40dは、更新が出来なかった旨、及び有人窓口への来店を促す旨のガイダンス画面(図示省略)を表示部30に表示させ(ステップS215)、カード更新処理が終了する。
【0046】
一方、前述のステップS125において、認証成功したと判定された場合、更新判断部40bは、ホストコンピュータ200に対し取引履歴の送信を要求する(ステップS130)。このとき、更新判断部40bは、旧カード90pのIC95pから読み取った利用者IDも併せてホストコンピュータ200に送信する。図5の例では、利用者IDとして「12345678」が送信されることとなる。
【0047】
ホストコンピュータ200(図1)において、更新制御部210aは、起動後において取引履歴送信要求を受信するまで待機している(ステップS305)。更新制御部210aは、利用者IDと共に取引履歴送信要求を受信すると(ステップS310)、受信した利用者IDをキーとして取引履歴DB201を検索し、該当する利用者IDについての取引履歴をATM100に送信する(ステップS315)。
【0048】
上述したように、利用者ID「12345678」を受信した場合、更新制御部210aは、取引履歴DB201(図2)を参照して、ID「12345678」についてのすべての履歴情報をATM100に送信する。
【0049】
ATM100において、更新判断部40bは、取引履歴情報を受信すると(ステップS135)、更新可否判断処理を実行する(ステップS140)。
【0050】
図8は、更新可否判断処理(ステップS140)の詳細手順を示すフローチャートである。更新判断部40b(図1)は、ステップS135で取得した取引履歴情報(図2)に基づき、認証失敗の回数が取引全体の回数の10%未満であるか否かを判定する(ステップS405)。認証失敗が多く取引全体の回数の10%以上である場合には、旧カードは悪意者によって使用されている可能性が高いため、この場合には、更新不可能であると判断して(ステップS440)、処理が終了する。
【0051】
前述の利用者ID「12345678」の利用者の例(図2)では、総取引回数「3455」に対して認証失敗回数は「4」であり10%未満である。この場合、更新判断部40bは、取引履歴情報を参照して、連続失敗回数が2回未満であるか否かを判定する(ステップS410)。認証失敗回数が少ない場合であっても連続して失敗している場合には、悪意者による利用や正当利用者が指を怪我しているケースなどが想定される。そこで、更新判断部40bは、連続失敗回数が2回以上である場合には、連続失敗の最終発生日が直近1ヶ月以内であるか否かを判定する(ステップS430)。
【0052】
連続失敗の最終発生日が直近の1ヶ月以内である場合には、正当利用者が最近指を怪我したケースや、悪意の第三者が旧カードの使用を開始したケースが想定される。後述するように更新時の指の静脈パターンを新カードに登録することとなるため、正当利用者が指を怪我している場合には、怪我が回復した場合に照合エラーとなるおそれがある。また、悪意の第三者によるカードの更新を回避しなければならない。そこでこの場合、更新不可能と判断する(ステップS440)。
【0053】
一方、前述のステップS430において、連続失敗の最終発生日が直近1ヶ月よりも前である場合には、認証操作に当初不慣れであったケースや、以前指に怪我をしていたが現在は回復している等のケースが想定される。この場合、更新判断部40bは、旧カード90pのIC95pに記憶されている認証履歴情報85を参照して、照合エラーの回数が総照合回数の10%未満であるか否かを判定する(ステップS415)。なお、前述のステップS410において、連続失敗回数が2回未満であると判定した場合にも、このステップS415の処理が実行される。なお、前述の利用者ID「12345678」の利用者の例(図2)では、連続失敗回数は「1」なので、このステップS415が実行される。
【0054】
ここで、照合エラーは、取引履歴DB201において「認証成功」と記録されるケースにおいても発生し得る。2回連続して照合エラーとならない限り、取引履歴DB201においては、「認証成功」とカウントされるからである。ここで、1回目に照合エラーとなった場合に2回目の照合を行うことなくキャンセルして、悪意者が何度も生体認証を試みているケースが想定される。したがって、照合エラー回数が多く総照合回数の10%以上である場合には、認証自体の成功率は高くても悪意者の利用が否定できない。また、正当利用者が操作ミスによって頻繁に照合エラーを起こしている場合には、操作方法について説明する必要がある。そこで、この場合、更新判断部40bは、照合エラーの最終発生日が直近の半年以内であるか否かを判定する(ステップS435)。
【0055】
前述の利用者ID「12345678」の利用者の例(図3)では、照合エラー回数は、361(12+345+4)であるので、総照合回数(3455)の10%以上である。したがって、この場合、ステップS435が実行される。
【0056】
照合エラーの最終発生日が直近の半年以内である場合には、悪意者による生体認証の試行が考えられる。また、正当利用者が現在もなお操作方法に不慣れであるケースも想定される。そこで、この場合、更新不可能であると判断して(ステップS440)、処理が終了する。一方、照合エラーの最終発生日が半年よりも前である場合(ステップS435:NO)には、正当利用者が認証操作に当初不慣れであったが現在は問題がないケースが想定される。そこで、この場合、更新判断部40bは、認証履歴情報85を参照して指相違の失敗により現金取引がなされずに終了したケースの有無を判定する(ステップS420)。すなわち、「照合エラー(連続)」において、「指相違」の件数が0であるか否かを判定する。
【0057】
なお、前述のステップS415において、照合エラー回数が総照合回数の10%未満である場合にもこのステップS420が実行される。指相違による照合エラーが連続して起きた場合には、たとえ照合エラーの回数が少なく総照合回数の10%未満であっても(ステップS415:YES)、悪意者の利用の可能性は否定できない。そこで、指相違による照合エラーが連続して起きた場合(ステップS420:NO)には、更新不可能であると判断して(ステップS440)、処理が終了する。一方、指相違による照合エラーが連続して発生していない(ステップS420:YES)には、更新可能であると判断して(ステップS425)、更新可否判断処理が終了する。
【0058】
前述の利用者ID「12345678」の利用者の例(図3)では、照合エラーの最終発生日は、2007/11/22であり、現在が2008/6/30とすると直近半年よりも前であるので、ステップS420が実行されることとなる。そして、指相違による照合エラーの連続回数は「0」であるので、更新可能と判断される(ステップS425)。
【0059】
図6に戻って、上述した更新可否判断処理が終了すると、更新部40cは、更新判断部40bによって更新が可能と判断されたか否かを判定する(ステップS145)。更新不可能と判断された場合には(図8:ステップS440,図6ステップS145:NO)、前述のステップS210,S215(図7)が実行され、カード更新処理が終了する。
【0060】
一方、前述のステップS145(図6)において、更新可能と判断された場合には、更新部40c(図1)は、カードリーダ/ライタ60に挿入されている旧カード90pを無効化して排出する(ステップS150)。具体的には、旧カード90p(図5)のIC95pに記録されている全ての情報を消去してから排出する。UI制御部40d(図1)は、カードリーダ/ライタ60への新カードの挿入を促すガイダンス画面(図示省略)を表示部30に表示させる(ステップS155)。
【0061】
表示部30に表示されたガイダンス画面に従って、利用者が新カード90nをカードリーダ/ライタ60に挿入すると、カードリーダ/ライタ60(図1)は、新カード90nのIC95nから全ての情報を読み取ってメモリ50に記憶する(ステップS160)。更新部40cは、ホストコンピュータ200に対して、カードリーダ/ライタ60に挿入されたカードの正当性判断を要求する(ステップS165)。このとき、更新判断部40bは、利用者IDの他、旧カード90pのカードNo.及び新カード90nのカードNo.も併せてホストコンピュータ200に送信する。
【0062】
前述の利用者ID「12345678」の例(図5)では、利用者ID(12345678)と、カードNo.(A1234,B9876)とがホストコンピュータ200に送信されることとなる。
【0063】
ホストコンピュータ200において、更新制御部210aは、上述したステップS315(図6)を実行した後において、正当性判断要求を受信するまで待機している(ステップS320)。更新制御部210aは、正当性判断要求を受信すると(ステップS325)、受信した利用者IDと、新/旧カードのカードNo.とに基づき、カード管理DB202を参照して、新カードが更新用として正規に発行されたカードであるか否かを判断する(ステップS330)。
【0064】
上述したように、カード管理DB202(図4)には、利用者ID「12345678」について、カードNo.が「B9876」の更新用カードのエントリがある。したがって、更新制御部210aは、受信した利用者ID「12345678」とカードNo.(A1234,B9876)とに基づき、新カード90nが正当なカードであると判断する。
【0065】
更新制御部210aは、新カードの正当性を判断すると、その判断結果をATM100に送信する(図6:ステップS335)。
【0066】
ATM100において、更新部40cは、ホストコンピュータ200から正当性判断結果を受信すると(ステップS170)、判断結果が「正当である」であったか否かを判定する(図7:ステップS175)。正当でないとの判断がされた場合には、カードリーダ/ライタ60は、挿入されているカードを排出する(ステップS205)。その後、上述したステップS210,S215が実行されてカード更新処理が終了する。
【0067】
一方、前述のステップS175において、正当性判断結果が正当であると判定すると、更新部40cは、カードリーダ/ライタ60を制御して、検出パターン格納部52に格納されている静脈パターンを新カード90nの登録パターン格納部86nに書き込んで新たに登録する(ステップS180)。その後、更新部40cは、検出パターン格納部52に記憶した静脈パターンを消去し(ステップS185)、カードリーダ/ライタ60が新カード90nを排出して(ステップS190)、カード更新処理が終了する。
【0068】
以上説明したカード更新処理により、正当な利用者による正当な新カードへの更新が可能となる。また、更新可否の判断において、取引履歴DB201に格納されている取引履歴に基づいて判断するので、取引全体からみた取引成功又は失敗の状況を分析して悪意者の利用や正当利用者の指の怪我等を想定することができ、これらのケースでは、自動的なカード更新を行わないようにすることができる。したがって、悪意者が更新した新カードを入手することを抑制でき、また、怪我により一時的に変形した正当利用者の静脈パターンが新カードに登録されてしまうことを抑制することができる。また、更新可否の判断において、旧カード90pに記憶されている認証履歴情報85に基づいて判断するので、取引履歴には現れない悪意者による巧妙な更新の試行や、正当利用者が操作に不慣れであるような場合に自動的なカード更新を行わないようにすることができる。したがって、悪意者が更新した新カードを入手することを抑制でき、また、操作が不慣れな正当利用者に対し、有人窓口への来店を促して操作方法を説明することができる。このように、ICカード更新システム1000を用いることで、窓口において審査や説明が必要な利用者については自動更新を行わないようにすることができ、また、審査や説明の必要のない利用者については自動更新を実行するので、適切なケースにおいて自動的にキャッシュカードを更新することができる。
【0069】
B.変形例:
なお、上記各実施例における構成要素の中の、独立クレームでクレームされた要素以外の要素は、付加的な要素であり、適宜省略可能である。また、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0070】
B1.変形例1:
上述した実施例では、取引履歴DB201に記録されている情報は、主として取引の成功/失敗に関する情報であったが、これに代えて、又は、これと共に取引額や各取引間の時間間隔などを記録することもできる。そして、これら取引額や各取引間の時間間隔などを考慮して更新可否判断処理(図6:ステップS140,図8)を実行することもできる。具体的には、例えば、或る一定期間内において、所定額以上の振込みが所定回数以上行われた場合には、更新可否とすることもできる。このようにすることで、例えば、振込み詐欺等による被害の有無を窓口において確認することができる。すなわち、一般には、現金取引における任意の取引履歴に基づきキャッシュカードの更新可否を判断する構成を、本発明の認証用デバイス更新システムに採用することができる。
【0071】
B2.変形例2:
上述した実施例では、静脈パターンを用いた生体認証は、現金取引における本人認証のために行われるものであったが、これに代えて、他の処理における本人認証のために行うものとすることができる。例えば、入退室を行う際における本人認証や、コンピュータの使用における本人認証のためなどに生体認証を行うこともできる。すなわち、一般には、任意の処理における本人認証のために静脈パターンを用いた生体認証を行う構成を、本発明の認証用デバイス更新システムに採用することができる。
【0072】
B3.変形例3:
上述した実施例では、生体認証で用いる生体情報は指の静脈パターンであったが、本発明はこれに限定されるものではなく、利用者の生体的な特徴を示す任意の生体情報を用いる構成とすることができる。例えば、指紋や、手のひらの静脈パターンや、虹彩の皺のパターン等を生体情報として用いる構成とすることができる。
【0073】
B4.変形例4:
上述した実施例では、更新対象物は、キャッシュカードであったが、これに代えて、クレジットカードを採用することもできる。また、これらカードに限らず、USBメモリ等の記憶媒体を採用することもできる。また、携帯電話機などの記憶媒体を内蔵する機器を更新対象物として採用することもできる。すなわち、一般には、生体認証において用いられる任意のデバイス(記憶媒体や記憶媒体内蔵機器)を更新対象物とする構成を、本発明の認証用デバイス更新システムに採用することができる。
【0074】
B5.変形例5:
上述した実施例では、認証履歴情報85は、旧カード90pのIC95pに格納されていたが、これに代えて、旧カード90p内の他の部分に格納することもできる。例えば、旧カード90pが磁気ストライプ(図示省略)を備えている場合には、かかる磁気ストライプに格納しておくこともできる。また、認証履歴情報85を、ICカード90p内の記憶装置に格納することに代えて、他の任意の装置に格納しておくこともできる。例えば、ATM100(図1)が備えるメモリ50に格納することもできる。また、営業店サーバ150内のメモリ(図示省略)や、ホストコンピュータ200内のメモリ212に格納することもできる。なお、カード管理DB202もホストコンピュータ200内に格納することに代えて、他の装置内に格納することもできる。例えば、営業店サーバ150内に格納することもできる。すなわち、一般には、処理履歴を記憶する処理履歴記憶部と、認証履歴を記憶する認証履歴記憶部を、任意の装置が備える構成を、本発明の認証用デバイス更新システムにおいて採用することができる。
【0075】
B6.変形例6:
上述した実施例の更新可否判断処理(図8)では、ステップS405において、更新不可能と判断する際の規準となる数値は、取引全体の「10%」であったが、これに代えて、任意の値とすることができる。同様にして、ステップS410における連続失敗回数(2回)や、ステップS430における期間(1ヶ月)等、更新可否判断処理の各ステップにおいて用いられる判断基準数値は、任意の値とすることができる。
【0076】
B7.変形例7:
上述した実施例では、ATM100は、営業店サーバ150を介してホストコンピュータ200と情報のやりとりを行っていたが、営業店サーバ150を介さず直接情報のやりとりを行う構成とすることもできる。また、キャッシュカードの更新は、ATM100で実行していたが、更新用の専用機(図示省略)をLAN120に接続し、かかる専用機において実行させることもできる。また、更新可否のみATM100において実行し、更新自体(すなわち、旧カード90pのIC95pから情報を消去し、新カード90nに静脈パターンを登録する処理自体)は、他の専用機において実行させることもできる。
【0077】
B8.変形例8:
上述した実施例では、カード更新処理における本人認証のために生体認証を行っていたが(ステップS120)、生体認証と共に暗証番号を用いた本人認証を実行することもできる。また、新カードが正当と判断され(図7ステップS175:YES)、検出パターン格納部52に格納されている静脈パターンをIC95pに書き込む前に、再度利用者から静脈パターンを検出して、検出パターン格納部52に格納されている静脈パターンと照合することもできる。そして、照合が成功した場合に、検出パターン格納部52内の静脈パターンをIC95pに書き込むようにすることもできる。このようにすることで、正当な利用者であるにも関わらず認証が失敗し得るような静脈パターンを新カード90nに新たに登録することを避けることができる。
【0078】
B9.変形例9:
上述した実施例では、新カード90nに登録する静脈パターンは、カード更新処理のステップS115において検出パターン格納部52に記憶した静脈パターンであったが、これに代えて、旧カード90pに登録されている登録パターン87(図5)を登録することもできる。
【0079】
B10.変形例10:
上述した実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えるようにしてもよい。
【図面の簡単な説明】
【0080】
【図1】本発明の実施例における認証用デバイス更新システムとしてのICカード更新システムの構成を示す説明図である。
【図2】図1に示す取引履歴DB201の内容を示す説明図である。
【図3】IC95に記録される認証履歴情報の内容を示す説明図である。
【図4】図1に示すカード管理DB202の内容を示す説明図である。
【図5】旧カード及び新カードにそれぞれ記憶される情報を示す説明図である。
【図6】ICカード更新システム1000において実行されるカード更新処理の手順を示す第1のフローチャートである。
【図7】ICカード更新システム1000において実行されるカード更新処理の手順を示す第2のフローチャートである。
【図8】更新可否判断処理(ステップS140)の詳細手順を示すフローチャートである。
【符号の説明】
【0081】
1000…ICカード更新システム
100…ATM
10…回線接続部
20…静脈パターン読取部
30…表示部
40…CPU
40a…認証実行部
40b…更新判断部
40c…更新部
40d…制御部
50…メモリ
52…検出パターン格納部
60…カードリーダ/ライタ
90…ICカード
95…IC
150…営業店サーバ
120…LAN
125…広域ネットワーク
200…ホストコンピュータ
210…CPU
210a…更新制御部
212…メモリ
201…取引履歴DB
202…カード管理DB
90p…旧カード
95p…IC
82p…基本情報格納部
84p…認証履歴情報格納部
85…認証履歴情報
86p…登録パターン格納部
87…登録パターン
90n…新カード
95n…IC
82n…基本情報格納部
84n…認証履歴情報格納部
86n…登録パターン格納部
【特許請求の範囲】
【請求項1】
利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新システムであって、
前記生体認証の後に実行される処理の履歴である処理履歴を記憶する処理履歴記憶部と、
前記生体認証の履歴である認証履歴を記憶する認証履歴記憶部と、
前記旧認証用デバイスを用いた生体認証の後に実行された前記処理についての前記処理履歴と、前記旧認証用デバイスを用いた生体認証についての前記認証履歴と、に基づき前記認証用デバイスの更新の可否を判断する更新判断部と、
を備える、認証用デバイス更新システム。
【請求項2】
請求項1に記載の認証用デバイス更新システムであって、さらに、
前記利用者から前記生体情報を検出する生体情報検出部と、
前記検出された生体情報を記憶する検出生体情報格納部と、
前記検出された生体情報と予め登録されている登録生体情報とを照合して、前記生体認証を実行する生体認証実行部と、
前記認証用デバイスにアクセス可能な認証用デバイスアクセス部と、
を備え、
前記認証用デバイスは、前記登録生体情報を記憶可能な登録生体情報格納部を有し、
前記認証用デバイスアクセス部は、前記生体認証が成功し、かつ、前記更新が可能であると判断された場合に、前記検出生体情報格納部に記憶されている生体情報を新たな登録生体情報として前記登録生体情報格納部に登録する、認証用デバイス更新システム。
【請求項3】
請求項1または請求項2に記載の認証用デバイス更新システムにおいて、
前記更新判断部は、前記認証履歴のうち、前記生体認証の最終失敗時期に関する情報に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【請求項4】
請求項1ないし請求項3のいずれか一項に記載の認証用デバイス更新システムにおいて、
前記更新判断部は、前記認証履歴のうち、前記生体認証を連続して失敗した回数に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【請求項5】
請求項1ないし請求項4のいずれか一項に記載の認証用デバイス更新システムにおいて、
前記処理は、現金取引処理である、認証用デバイス更新システム。
【請求項6】
請求項1ないし請求項5のいずれか一項に記載の認証用デバイス更新システムにおいて、
前記認証用デバイスは、ICカードである、認証用デバイス更新システム。
【請求項7】
利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新方法であって、
前記旧認証用デバイスを用いた生体認証の後に実行された処理の履歴である処理履歴と、前記旧認証用デバイスを用いた生体認証についての履歴である認証履歴と、に基づき、前記認証用デバイスの更新の可否を判断する工程を備える、認証用デバイス更新方法。
【請求項1】
利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新システムであって、
前記生体認証の後に実行される処理の履歴である処理履歴を記憶する処理履歴記憶部と、
前記生体認証の履歴である認証履歴を記憶する認証履歴記憶部と、
前記旧認証用デバイスを用いた生体認証の後に実行された前記処理についての前記処理履歴と、前記旧認証用デバイスを用いた生体認証についての前記認証履歴と、に基づき前記認証用デバイスの更新の可否を判断する更新判断部と、
を備える、認証用デバイス更新システム。
【請求項2】
請求項1に記載の認証用デバイス更新システムであって、さらに、
前記利用者から前記生体情報を検出する生体情報検出部と、
前記検出された生体情報を記憶する検出生体情報格納部と、
前記検出された生体情報と予め登録されている登録生体情報とを照合して、前記生体認証を実行する生体認証実行部と、
前記認証用デバイスにアクセス可能な認証用デバイスアクセス部と、
を備え、
前記認証用デバイスは、前記登録生体情報を記憶可能な登録生体情報格納部を有し、
前記認証用デバイスアクセス部は、前記生体認証が成功し、かつ、前記更新が可能であると判断された場合に、前記検出生体情報格納部に記憶されている生体情報を新たな登録生体情報として前記登録生体情報格納部に登録する、認証用デバイス更新システム。
【請求項3】
請求項1または請求項2に記載の認証用デバイス更新システムにおいて、
前記更新判断部は、前記認証履歴のうち、前記生体認証の最終失敗時期に関する情報に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【請求項4】
請求項1ないし請求項3のいずれか一項に記載の認証用デバイス更新システムにおいて、
前記更新判断部は、前記認証履歴のうち、前記生体認証を連続して失敗した回数に基づき、前記更新の可否の判断を行う、認証用デバイス更新システム。
【請求項5】
請求項1ないし請求項4のいずれか一項に記載の認証用デバイス更新システムにおいて、
前記処理は、現金取引処理である、認証用デバイス更新システム。
【請求項6】
請求項1ないし請求項5のいずれか一項に記載の認証用デバイス更新システムにおいて、
前記認証用デバイスは、ICカードである、認証用デバイス更新システム。
【請求項7】
利用者の生体的な特徴を示す生体情報を用いた生体認証において用いられる認証用デバイスを、旧認証用デバイスから新認証用デバイスに更新するための認証用デバイス更新方法であって、
前記旧認証用デバイスを用いた生体認証の後に実行された処理の履歴である処理履歴と、前記旧認証用デバイスを用いた生体認証についての履歴である認証履歴と、に基づき、前記認証用デバイスの更新の可否を判断する工程を備える、認証用デバイス更新方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−9117(P2010−9117A)
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願番号】特願2008−164642(P2008−164642)
【出願日】平成20年6月24日(2008.6.24)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願日】平成20年6月24日(2008.6.24)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]