特許第6689917号(P6689917)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 高知信用金庫

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 高知信用金庫の特許一覧

<>
  • 特許6689917-金融機関における本人認証方法 図000002
  • 特許6689917-金融機関における本人認証方法 図000003
  • 特許6689917-金融機関における本人認証方法 図000004
  • 特許6689917-金融機関における本人認証方法 図000005
  • 特許6689917-金融機関における本人認証方法 図000006
  • 特許6689917-金融機関における本人認証方法 図000007
  • 特許6689917-金融機関における本人認証方法 図000008
  • 特許6689917-金融機関における本人認証方法 図000009
  • 特許6689917-金融機関における本人認証方法 図000010
  • 特許6689917-金融機関における本人認証方法 図000011
  • 特許6689917-金融機関における本人認証方法 図000012
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6689917
(24)【登録日】2020年4月10日
(45)【発行日】2020年4月28日
(54)【発明の名称】金融機関における本人認証方法
(51)【国際特許分類】
   G06Q 20/40 20120101AFI20200421BHJP
【FI】
   G06Q20/40
【請求項の数】11
【全頁数】21
(21)【出願番号】特願2018-129278(P2018-129278)
(22)【出願日】2018年7月6日
(65)【公開番号】特開2020-9118(P2020-9118A)
(43)【公開日】2020年1月16日
【審査請求日】2018年7月6日
(73)【特許権者】
【識別番号】596115377
【氏名又は名称】高知信用金庫
(74)【代理人】
【識別番号】100085648
【弁理士】
【氏名又は名称】田中 幹人
(72)【発明者】
【氏名】山▲ざき▼ 久留美
【審査官】 今井 悠太
(56)【参考文献】
【文献】 特開2014−174707(JP,A)
【文献】 韓国公開特許第10−2016−0116539(KR,A)
【文献】 韓国公開特許第10−2017−0122708(KR,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00−99/00
(57)【特許請求の範囲】
【請求項1】
金融機関との特定の取引において、取引者の主体的能力の有無を金融機関が判断するための本人認証方法であって、
予め金融機関のサーバに登録した認証アイテムと、取引者から金融機関に提示する認証アイテムとの契合を金融機関のサーバが照合・判断する本認証と、
本認証の認証アイテムから検出した取引者の契約者番号を鍵として、本認証の完了の有無,特定の取引の内容,本認証完了日時の情報を取得する前処理と、
本認証から分離独立しており、下記の手順1〜手順5を順次行う追加認証とからなり、本認証完了後に追加認証による認証を必要とすることを特徴とする金融機関における本人認証方法。
手順1:取引者が携帯電話から通信キャリアの電話網を通じて金融機関のサーバに架電して発信者番号を伝達する手順。
手順2:金融機関のサーバが手順1で伝達された発信者番号と予め金融機関のサーバに登録した取引者の登録発信者番号の契合を照合・判断する手順。
手順3:金融機関のサーバが手順2で契合した登録発信者番号を鍵として取引者の契約者番号を取得する手順。
手順4:金融機関のサーバが手順3で取得した契約者番号と前処理で取得した契約者番号の契合によって、前処理で取得した情報から下記の照合項目1〜3の充足の有無を照合・判断する手順。
照合項目1:取引内容が特定され、かつ、確定していること。
照合項目2:本認証を完了していること。
照合項目3:本認証完了から所定の時間内であること。
手順5:金融機関のサーバが手順4に示す照合項目1〜3が充足していると判断した場合に追加認証を完了とする手順。
【請求項2】
金融機関のサーバは、手順1に付加して、取引者から金融機関のサーバへ架電した着信番号が予め金融機関が定めた電話番号と一致するかを照合・判断する請求項1記載の金融機関における本人認証方法。
【請求項3】
金融機関のサーバは、発信者番号を取得した後に架電された回線を切断する請求項1又は2記載の金融機関における本人認証方法。
【請求項4】
追加認証完了後一定時間を経過することによって、前処理で取得した情報を廃棄し、照合項目1〜3をブランクとするとともに追加認証を未了とする請求項1,2又は3記載の金融機関における本人認証方法。
【請求項5】
常時は本認証及び追加認証を、認証未了の状態とする請求項1,2,3又は4記載の金融機関における本人認証方法。
【請求項6】
携帯電話として、スマートフォンを使用する請求項1,2,3,4又は5記載の金融機関における本人認証方法。
【請求項7】
金融機関のサーバへの架電を、Web上の追加認証アプリを介して行う請求項1,2,3,4,5又は6記載の金融機関における本人認証方法。
【請求項8】
金融機関のサーバへの架電を、Web上の追加認証アプリを介し、該追加認証アプリ上に金融機関の電話番号を架電可能に表示して行う請求項1,2,3,4,5又は6記載の金融機関における本人認証方法。
【請求項9】
金融機関の電話番号を複数の電話番号からアトランダムに選択してWeb上の追加認証アプリに表示する請求項8記載の金融機関における本人認証方法。
【請求項10】
金融機関との取引がATM取引,インターネットバンキング取引又は窓口取引である請求項1,2,3,4,5,6,7,8又は9記載の金融機関における本人認証方法。
【請求項11】
金融機関との取引が、出金,入金,照会,属人事項変更又は認証手段変更である請求項1,2,3,4,5,6,7,8,9又は10記載の金融機関における本人認証方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、金融機関との特定の取引において、取引者の主体的能力の有無を金融機関が判断するための本人認証方法であって、特には取引の迅速性を阻害することなく、不正取引を防止する方法に関する。
【背景技術】
【0002】
近時の金融機関との取引形態は、窓口取引に代わって、金融機関やその他の場所に設置されたATM(現金自動受払機)等の機械装置を選択することが多く、又インターネット等のITインフラの急速な普及や社会生活環境の変化に伴って金融機関やATMの設置場所まで直接出向く必要のないインターネットバンキングが急速に普及・拡大している。その反面、これらの取引における取引者の主体的能力の有無を確認するための本人認証アイテムとして使用するキャッシュカードの偽造やインターネットバンキングのID・パスワードの窃取により、預金が不正に引き出される犯罪が後を絶たず、その手口は日々複雑化・巧妙化している。
【0003】
インターネットバンキングにおける不正送金の代表的な手口としては「フィッシング詐欺」や「不正送金ウイルス」が知られている。例えば、「フィッシング詐欺」の手口は、詐欺犯人が金融機関を装った偽メールを契約者に送信して契約者を欺罔し、契約者に偽メールに記載されている金融機関を装った「偽ホームページ」へアクセスさせ、案内に従って「ID・パスワード,乱数表データ」などの情報を入力させて、その情報を窃取し、金融機関の「本物のホームページ」にアクセスして不正送金を実施するものである。
【0004】
上記したようなインターネットバンキングにおける不正送金への安全対策として「フィッシング対策協議会」が、「怪しいメールに注意する。」「いつもと異なるログイン画面に注意する。」「OSやソフトウェアを常に最新の状態に保つ。」「ウイルス定義データベースを常に更新する。」「口座を定期的に確認する。」「不正送金対策ソフトをインストールする。」等のガイドラインを策定し、利用者側に注意を促している。
【0005】
警察庁の発表によれば、インターネットバンキングにおける不正送金による被害は、2012年には64件,約4,800万円だった被害額が、2013年には、1,315件,約14億600万円の被害に達し、2015年に至っては、1,495件,約30億7300万円と前年の2倍以上の被害額となっており、インターネットバンキングの存立を脅かすような大きな脅威となっている。
【0006】
これに対して、金融機関側も、登録先以外への振込などの確認時に、ワンタイムパスワードを利用者宛にEメールで送信したり、スマートフォンのアプリケーションを利用して生成して、取引確認パスワードとして利用する対策を講じている。更に、近時はインターネットを介した所定の取引要求における本人確認の確認キーを、ATMの利用時に取引の履歴情報から生成してATMに送信し、利用者はその確認キーをATMを介して受け取って、インターネットバンキングにおける補助的な本人確認手段として用いる手段も提供されている(特許文献1)。
【0007】
不正取引の被害はインターネットバンキングに限らず、より身近なキャッシュカードを使用する取引においても多数報告されている。その代表的な手口は次の通りである。
[手口1:ATMのカード挿入口にスキミング装置を取り付ける手口]
ATMのカード挿入口にスキミング装置を取り付け、キャッシュカードなどの磁気ストライプ上のデータをスキミングするとともに、ATMの付近に設置した小型カメラにより預金者が入力した暗証番号を不正に取得し、偽造したキャッシュカードを利用して海外のATMから預金を不正に出金する。
【0008】
[手口2:暗証番号式のロッカー等からキャッシュカードを抜き取り偽造する手口]
ゴルフ場等の暗証番号式ロッカーやセキュリティボックスの利用者が暗証番号を入力する際に、背後から覗き見したり、小型カメラで盗撮して入手したロッカー等の暗証番号を使用して、被害者が気付かないうちにロッカー等を開けてスキミング装置でキャッシュカードの磁気ストライプ上のデータをスキミングする。キャッシュカードの暗証番号は、ロッカー等の暗証番号にも利用している場合が多いので、それを利用して、預金を不正に出金する。
【0009】
[手口3:空き巣,車上荒らし,置き引き,スリ,ひったくりによる手口]
犯行時に、キャッシュカードを盗み、キャッシュカードと併せて盗んだ物品から暗証番号を推測する等により、ATMから預金を引き出す。
【0010】
[手口4:高齢者・要介護者に「親切を装って」不正な取引をする手口]
一人暮らしの高齢者や要介護者の介護を通じて相手を信用させ、本人の銀行取引を代行するかたちで、通帳と印鑑やキャッシュカードを預かり、パスワードを聞いた上で、依頼された銀行取引以外の取引を実行して現金を引き出す。
【0011】
これに対して、金融機関側も偽造キャッシュカードによる不正出金を防止するために、キャッシュカード読込部分にスキミング防止機能を付加したり、磁気ストライプに特殊記号を書込んでキャッシュカードをATMに取り込む際に、特殊な動作を実施し、スキミングが困難となるような仕組みをATMに組み込んだり、取引完了時にキャッシュカードの磁気ストライプに異なる特殊記号を毎回書込み、正当なキャッシュカードで取引されたか否かの判断を可能とする等の手段を講じている。
【0012】
更に、盗難キャッシュカードによる不正出金を防止するために、生年月日等契約者と密接な関係を有する数字での暗証番号の設定を不可とする等の暗証番号に第三者に推測されやすい番号を使わない等の注意喚起を促している。
【0013】
金融機関との取引における基本である窓口取引においては、原則として通帳と印鑑を使用して本人認証を行っている。通帳と印鑑は常に盗難や偽造の危険に曝されており、通帳が存在し、印影が合致する以上、実質的には不正な取引であったとしても、これを防止する手段が存在しない。精々、1日当たりの引出額を制限しているくらいである。即ち、印鑑と通帳が盗難にあった場合には、取引者が金融機関に届け出ない限り、限度額の範囲内で不正取引が繰り返されることとなり、これを防ぐ手段がない。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】特開2008−123461号公報
【発明の概要】
【発明が解決しようとする課題】
【0015】
社会生活を営み、経済活動を行う上において、金融機関との取引は必須であり、個人,法人,団体を問わず、資金の預け入れ,借り入れ,各種代金の決済等の経済活動に幅広く利用されている。まさに金融機関は社会生活や経済活動のパートナーともいえる存在である。金融機関との取引においては、取引の安全性を確立するため、不正な取引を排除することが何より求められている。そのためには、種々の認証アイテムにより、取引者の主体的能力の有無を口座単位で確認することによって不正取引を防止する本人認証システムの安全性が保障されなければならない。併せて、不正取引の防止手段によって、取引の実効性が損なわれてはならない。そのため、取引においては安全性と迅速性の双方が同時に確立される必要がある。
【0016】
しかしながら、前記したようなインターネットバンキングやATM取引における不正取引防止策については、金融機関が新たな認証アイテムを開発して、新たに不正取引防止策を講じる度に、その認証アイテムを破る手段も新たに提供されているのが実情である。例えば、インターネットバンキングにおける不正取引防止策として現在多くの金融機関で採用しているEメール等を利用したワンタイムパスワードの提供は、利用者が使用するパソコンがマルウェア(悪意のある不正ソフトウェア)に感染している場合には、第三者に流出する危険性を含んでおり、完全な安全対策とはなり得ていない。通帳と印鑑による窓口取引においては窃取されたことを知り得なければ、不正取引を防ぐ手段がないのが実情である。
【0017】
また、一身専属的な認証アイテムとして、指紋・掌紋・声紋・顔・虹彩その他の生体を利用する生体認証も普及し始めているが、生体も生体情報としてデータ化されて管理される以上、そのデータが窃取された場合には解析されて複製され、突破される可能性を有している。更に、生体情報はパスワードのように任意に更新することができないため、一度複製によって突破されてしまうと生涯に亘って安全性を回復できなくなる、致命的な問題を内在している。加えて、事情によっては生体認証を利用できない人々も存在する。よって、現在の本人認証システムは種々の安全対策の構築により安全性が飛躍的に向上しているとはいえ、その安全対策を破られる可能性を常に内在しており、不正取引を完全には防ぐことができず、安全性を保障することができていないのが実情である。
【0018】
そこで、本発明は取引の迅速性を損なうことなく、誰もが安心して金融機関と円滑に取引するために、従来の本人認証システムの安全性の強化とは異なる視点に立って、取引の迅速性を阻害することなく、金融機関における不正取引を防止して取引の安全性を確保する新たな金融機関における本人認証方法を提供することを目的としている。
【課題を解決するための手段】
【0019】
本発明者は金融機関における取引の安全性確保について鋭意研究の結果、不正取引の防止策としての従来の本人認証システムでは、如何に防御策を講じようとも、防御策としての認証アイテムを窃取されて突破される可能性があることを前提として、即ち、安全策は破られることを前提として不正取引の防止を図る必要があるとの新たな知見に想到した。この知見に基づき、本人認証システムが不正な手段で突破された場合であっても、確実に取引の安全性と迅速性の双方を確保する新たな金融機関における本人認証方法を提供する。
【0020】
即ち、本発明は、金融機関との特定の取引において、取引者の主体的能力の有無を金融機関が判断するための本人認証方法であって、予め金融機関のサーバに登録した認証アイテムと、取引者から金融機関に提示する認証アイテムとの契合を金融機関のサーバが照合・判断する本認証と、本認証の認証アイテムから検出した取引者の契約者番号を鍵として、本認証の完了の有無,特定の取引の内容,本認証完了日時の情報を取得する前処理と、本認証から分離独立しており、下記の手順1〜手順5を順次行う追加認証とからなり、本認証完了後に追加認証による認証を必要とすることを特徴とする金融機関における本人認証方法を基本として提供する。
手順1:取引者が携帯電話から通信キャリアの電話網を通じて金融機関のサーバに架電して発信者番号を伝達する手順。
手順2:金融機関のサーバが手順1で伝達された発信者番号と予め金融機関のサーバに登録した取引者の登録発信者番号の契合を照合・判断する手順。
手順3:金融機関のサーバが手順2で契合した登録発信者番号を鍵として取引者の契約者番号を取得する手順。
手順4:金融機関のサーバが手順3で取得した契約者番号と前処理で取得した契約者番号の契合によって、前処理で取得した情報から下記の照合項目1〜3の充足の有無を照合・判断する手順。
照合項目1:取引内容が特定され、かつ、確定していること。
照合項目2:本認証を完了していること。
照合項目3:本認証完了から所定の時間内であること。
手順5:金融機関のサーバが手順4に示す照合項目1〜3が充足していると判断した場合に追加認証を完了とする手順。
【0021】
そして、金融機関のサーバは、手順1に付加して、取引者から金融機関のサーバへ架電した着信番号が予め金融機関が定めた電話番号と一致するかを照合・判断し、金融機関のサーバは、発信者番号を取得した後に架電された回線を切断し、追加認証完了後一定時間を経過することによって、前処理で取得した情報を廃棄し、照合項目1〜3をブランクとするとともに追加認証を未了とし、常時は本認証及び追加認証を、認証未了の状態とする。
【0022】
また、携帯電話として、スマートフォンを使用し、金融機関のサーバへの架電を、Web上の追加認証アプリを介して行い、又追加認証アプリ上に金融機関の電話番号を架電可能に表示する。更に、金融機関の電話番号を複数の電話番号からアトランダムに選択してWeb上の追加認証アプリに表示し、金融機関との取引がATM取引,インターネットバンキング取引又は窓口取引であり、金融機関との取引が、出金,入金,照会,属人事項変更又は認証手段変更である。
【発明の効果】
【0023】
以上記載した本発明の特徴の第1は、金融機関との特定の取引において、取引者の主体的能力の有無を金融機関が判断するための本人認証方法として、従来の本人認証手段であるところの、予め金融機関のサーバに登録した認証アイテムと、取引者から金融機関に提示する認証アイテムとの契合を金融機関のサーバが照合・判断する方法(本発明における本認証)に、本認証から分離独立しているとともに、伝達可能で偽造不可能な情報である携帯電話の発信者番号を使用した追加認証を組み合わせて、本認証完了後に追加認証による認証を必要とするようにしたことである。よって、従来の本人認証手段である本認証の認証アイテムが窃取されたり、偽造された場合でも、追加認証の存在によって不正な取引を確実に防ぐことができ、従来の本人認証システムの持つ脆弱性を確実にカバーして取引の安全性を確実に担保することができる。また、追加認証は取引者が携帯電話から通信キャリアの電話網を通じて金融機関のサーバに架電するだけでよいので、取引の迅速性を損なうこともなく、誰もが安心して金融機関と円滑に取引することが可能となる。
【0024】
本発明の特徴の第2は、追加認証の可否を判断する鍵として、伝達可能で偽造不可能な情報である取引者の携帯電話の発信者番号を使用することによって、従来の認証アイテムのように偽造されるリスクを排除することができるとともに、物(携帯電話)と情報(発信者番号)の両面から二重に安全を確保することができることである。
【0025】
本発明の特徴の第3は、追加認証に際して、発信者番号の照合・判断に加えて、追加認証を完了する条件として、3つの照合項目を充足することを必要としていることである。照合項目1として「取引内容が特定され、かつ、確定していること。」を要求しているため、口座単位で行われ、口座全体を取引可能とする本認証のみからなる従来の本人認証と異なり、本認証を完了した特定の取引のみを対象としているため、特定の取引毎にその都度、取引の安全性を担保することが可能である。
【0026】
照合項目2として「本認証を完了していること。」を要求しているため、追加認証は本認証とは別に本認証の後に行われるため、仮に本認証が不正な手段によって突破されたとしても追加認証によって不正な取引を防止することができ、フェイルセーフ(fail-safe)を実現することができる。
【0027】
照合項目3として「本認証完了から所定の時間内であること。」を要求しているため、本人認証の時間を任意に設定することができ、本認証と追加認証を連動させて一体として機能させることが可能となり、偽造不可能で伝達可能な情報である発信者番号を使用する追加認証に時間設定という安全策を付加することができる。
【0028】
本発明の特徴の第4は、発信者番号を鍵として電話網を使用して金融機関のサーバに伝達することであり、いつでも何処でも使用することが可能であり、迅速性が要求される取引の実効性を損なうことがない。しかも、Web上のアプリを利用するため、スマートフォン等の携帯電話にアプリをインストールしておく必要がなく、携帯電話を交換した場合でも同一の電話番号であれば、そのまま使用することができ、しかも、取引者,金融機関ともに着信さえすればよいため、通信料が発生しない。更に、携帯電話を紛失しても携帯電話自体をロックしておけば追加認証による取引の安全性確保の担保を維持することができる。
【0029】
更に、本認証の認証アイテムを第三者に託したとしても、追加認証は取引者本人が実行することが可能であり、特に、これからの高齢化社会において、高齢者や要介護者が第三者に金融取引を依頼する場合においても、取引の安全性を自ら或いは家族が制御することができる。
【図面の簡単な説明】
【0030】
図1】本発明にかかる金融機関における本人認証方法の基本概念図。
図2】本発明の基本構成図。
図3】本発明の基本構成図。
図4】本発明における本認証の基本構成図。
図5】本発明における追加認証の基本構成図。
図6】本発明の追加認証の詳細構成図。
図7】インターネットバンキング取引の基本構成図。
図8】ATM取引の基本構成図。
図9】窓口取引の基本構成図。
図10】発信者番号の伝達方法の説明図。
図11】本発明の着想を示す概念図。
【発明を実施するための形態】
【0031】
以下図面に基づいて本発明にかかる金融機関における本人認証方法の実施形態を説明する。本発明の対象となる金融機関との取引とは、取引に際して金融機関が取引者の主体的能力の有無を確認することが求められる預金業務,融資業務,為替業務,証券業務,保険業務等の金融取引全般をいい、代表的な取引としては出金,入金,照会,属人事項変更,認証手段変更その他である。そのため、公共料金,税金,クレジットカードの利用代金等の自動的引き落としを行う口座振替は除かれる。なお、本発明が対象とする取引は、金融機関と取引者との間の包括的な取引ではなく、具体的に実行される個々の取引である。そのため、本発明は取引者の主体的能力を従来のように口座単位で確認するのではなく、個々の取引毎に確認する。
【0032】
また、金融機関としては、信用金庫,銀行,農業協同組合,証券会社等はもとより、信販会社,クレジット会社,リース会社等のノンバンクを含み、広く金融サービスの提供を業務として営んでいる組織を対象としている。なお、入金は現況では取引者の主体的能力の確認を必要としないが、本件発明の対象となる取引に含むことも可能である。更に、取引手段に限定はなく、ATM取引,インターネットバンキング取引,窓口取引,その他の取引手段であってもよい。
【0033】
図11は本発明の着想を示す概念図である。従来、本人認証手段である本認証Rにおける不正取引の防止策の強化は、「ID,パスワード,キャッシュカード,暗証番号,通帳,印鑑」等の口座単位で設定した各種の認証アイテムの窃取からの防御手段の強化、即ち、認証アイテムを如何にして窃取されないようにするのかの対策に終始している。例えば、「対策1:如何にしてインターネットバンキングのID・パスワードを盗み取られないようにシステム対応するか」「対策2:如何にしてキャッシュカードを偽造されないように対応するか」等々である。対策1,2の具体例は従来技術として前記したとおりである。しかしながら、対策1や対策2を新たに構築したとしても、更に、これを破るための新たな手口が開発され、より手口が巧妙化・複雑化し、やがて対策1や対策2を構築した本認証Rも破られてしまう。これでは認証アイテムの防御手段と不正取引のための攻撃手段との「いたちごっこ」となってしまい「対策に切りがない」ばかりか、抜本的な解決とならず、現在のITインフラの急速な普及や社会生活環境の変化に即した金融取引の安全性を確立することができない。即ち、誰もが安心して金融機関に資金を預け、取引をすることが保証されていない。そのため、前記した不正取引の統計が示すように、不正取引による被害の急増を招いている。
【0034】
そこで、本発明者は根本的な発想の転換を行い、いかに防御策を講じようとも、防御策はいずれ突破され、各種の認証アイテムは窃取される可能性を有することを前提として、不正取引の防止を図る必要があるとの着想を得た。この着想に基づき、本認証Rでは不正取引を防止できない場合があることを想定して、即ち、「前提1:インターネットバンキングのID・パスワードは窃取される可能性があること」「前提2:キャッシュカードは偽造される可能性があること」「前提3:暗証番号は窃取される可能性があること」等々の、本認証Rの安全策は破られることを前提として、不正取引を防止するための本人認証方法について種々研究の結果、本認証Rの安全対策を強化・改善するとともに、本認証Rに加えて、本認証Rから分離独立した追加認証Aによる本人認証を必須とするとともに、本認証Rと追加認証Aを関連づけた本発明にかかる本人認証Pに想到した。
【0035】
図1は本発明にかかる金融機関における本人認証方法の基本概念図、図2図3はその基本構成図、図4は本認証の基本構成図、図5は追加認証の基本構成図、図6は追加認証の詳細構成図である。図1図3に示すように、取引者1が特定の取引申込前60の状態から、出金や振込等の特定の取引申込65をATM取引66(現金自動預払機取引),IB取引67(インターネットバンキング取引),窓口取引68等によって金融機関Uに対して行うとともに、本認証Rの認証アイテム70を金融機関Uに提示することによって、本認証Rが行われる。
【0036】
本認証Rの認証方法は従来から行われている本人認証と同一の方法であり、取引者1が予め金融機関Uに登録した認証アイテムと、取引者1から金融機関Uに提示する認証アイテム70との契合を金融機関Uのサーバが照合・判断するものである。認証アイテム70は従来から使用されているID,パスワード,キャッシュカード,通帳,印鑑,指紋その他の生体等である。金融機関Uのサーバは従来と同様に提示された認証アイテム70と金融機関Uのサーバに登録された認証アイテムとの照合・判断を行い、一致していれば本認証Rを完了する。なお、相違する場合は所定のエラー処理を行い、本認証Rを未了として終了し、従来と同様に申込された取引の実行を不可として処理する。
【0037】
本発明では、この本認証完了3を受けて、更に追加認証Aを付加して行う。この追加認証完了40によって、本認証R及び追加認証Aの双方による本人認証P(図2参照)が完了となり、取引者1は本人と認証されて、特定の取引実行200が可能となる。
【0038】
このように、本発明における本人認証Pは、従来と同様の本認証Rと本発明によって新たに付加した追加認証Aとの組合せによって行われ、更に追加認証Aは、前処理10と追加認証処理20の2つの段階に分けて行われる。金融機関Uのサーバは利用者管理データベース100(図6参照)等の所定の記憶装置に、本認証Rの完了/未了及び追加認証Aに関する各種情報、具体的には認証情報110,契約者番号情報120,取引情報130,取引設定日情報140,取引設定時刻情報150,その他必要な情報を追加認証データCとして保存し、これらの各種情報に基づいて追加認証Aの完了/未了及び特定の取引実行の可否等を判断する。
【0039】
認証情報110は、本認証Rと追加認証Aのそれぞれの完了/未了に関する情報であり、特定の取引申込前60の本認証R及び追加認証Aの双方の未了を示す「未了115」と、本認証Rの完了後、追加認証Aの未了を示す「本認証完了3」と、本認証R及び追加認証Aの双方の完了を示す「追加認証完了40」のいずれかを示す情報である。
【0040】
契約者番号情報120は、金融機関Uの実店舗の本店・支店,インターネット上の支店を問わず全店舗を通じて契約者毎に採番して付与される契約者番号15であり、[契約者:契約者番号15=1:1]の関係にある。本発明では、契約者番号情報120を、本認証Rと追加認証Aからなる本人認証Pを行う取引者1を特定するために使用する。
【0041】
取引情報130は、取引者1からATM取引66,IB取引67,窓口取引68等の所定の手続によって申し込まれた特定の取引情報、具体的には取引者1から金融機関Uに伝達された申込取引内容131である。取引設定日情報140は、本認証Rを完了した日付に関する情報であり、「当日141」又は具体的な日付である。取引設定時刻情報150は、本認証Rを完了した時刻に関する情報であり、「本認証完了時刻151」である。また、追加認証データCに表示する情報は取引の内容に応じて金融機関Uが適宜選択することが可能である。
【0042】
追加認証データCの情報は、認証アイテム70の照合・判断による本認証Rの完了前は、下記のように認証情報110が本認証Rと追加認証Aの双方が未了の状態を示す未了115となっているとともに、その他の情報はいずれもブランク125,135,145,155となっており、情報は入力されていない。
認証情報110 :未了115
契約者番号情報120 :ブランク125
取引情報130 :ブランク135
取引設定日情報140 :ブランク145
取引設定時刻情報150 :ブランク155
【0043】
特定の取引申込65がなされ、本認証Rを完了した金融機関Uのサーバは、取引者1から提示されたID,パスワード,キャッシュカード,通帳等の本認証Rの認証アイテム70に紐付けされた取引者1の契約者番号15を検索し、追加認証データCにおける各種情報を取得するために必要な前処理10を行う。本認証完了後,追加認証前の追加認証データCには、この前処理10によってデータ更新が行われ、下記のように認証情報110が本認証Rが完了し追加認証Aが未了の状態を示す本認証完了3として記録されるとともに、契約者番号情報120として具体的な契約者番号15が、取引情報130として金融機関Uのサーバに伝達された申込取引内容131が、取引設定日情報140として当日141が、取引設定時刻情報150として本認証完了時刻151が記録される。併せて取引者1に対し、追加認証Aの実施を促す通知を、取引手段に対応したインターネット,ATM,窓口職員等の各種手段を介して行う。
認証情報110 :本認証完了3
契約者番号情報120 :契約者番号15
取引情報130 :申込取引内容131
取引設定日情報140 :当日141
取引設定時刻情報150 :本認証完了時刻151
【0044】
次に金融機関Uのサーバ図2図6に示すように、下記の手順1〜手順5に示す方法で追加認証処理20を行う。
【0045】
[手順1:取引者1が携帯電話5から通信キャリア75の電話網77を通じて金融機関Uのサーバに架電して発信者番号25を伝達する手順。]
取引者1は金融機関Uのサーバからの本認証Rの完了通知及び追加認証Aを促す通知を受けて、予め金融機関Uのサーバに登録した発信者番号25(電話番号)を有する携帯電話5から、適宜の通信キャリア75の電話網77を通じて、取引をしようとする金融機関Uのサーバに架電し、携帯電話5の発信者番号25を情報として金融機関Uのサーバに伝達する。
【0046】
架電に際しては、図10に示すように、スマートフォン5aからWeb上の追加認証アプリ6を起動させ、該追加認証アプリ6上に金融機関Uの電話番号群から無作為に抽出された電話番号7を架電可能に表示して、取引者1が選択することによって金融機関Uのサーバに架電できるようにする。このようにすれば、取引者1は金融機関Uの電話番号7を記憶や記録しておく必要がなく、又スマートフォン5aに追加認証アプリ6をダウンロードしておく必要もない。また、金融機関Uの電話番号7として、フリーダイヤルを選択しておけば、取引者1が通信料を負担する必要がないことを明示することができる。
【0047】
また、Web上の追加認証アプリ6に表示する金融機関Uの電話番号7は、複数の電話番号群からWeb上の追加認証アプリ6を起動する度にシャッフルして表示するようにすることにより、より安全性が高まる。使用する携帯電話5としては、自己名義の携帯電話5を使用することが基本であるが、家族名義等他人名義の携帯電話5であっても予め金融機関Uのサーバに発信者番号25(電話番号)を登録した携帯電話5であれば、使用可能である。自己名義か他人名義にかかわりなく、取引者1が占有している携帯電話5が好ましい。占有することによって、鍵となる発信者番号25を物理的に第三者から保護することができる。また、携帯電話5は常に携行しておくことが多く、仮に紛失,盗難等にあったとしても、携帯電話5そのものをロックしておくことができるため、物(携帯電話5)と情報(発信者番号25)の両面から二重に安全を確保することができる。固定電話も携帯電話5と同様に発信者番号を通知できるが、携帯や占有、更にはロックをかけることができないため、本発明では使用しない。なお、携帯電話5としては、スマートフォン5aを使用することが便宜である。
【0048】
本発明では、追加認証Aの可否を判断する鍵として、伝達可能で偽造不可能な情報である取引者1の携帯電話5の発信者番号25を使用することによって、従来の認証アイテム70のように偽造されるリスクを排除することができるとともに、物(携帯電話5)と情報(発信者番号25)の両面から二重に安全を確保することができることである。発信者番号25は既存の本認証Rにおける認証アイテム70であるキャッシュカード,暗証番号,ID,パスワード,生体,印鑑等の認証アイテムに相当するものである。本認証Rの限界は、如何に安全策を強化しようとも、認証アイテム70が窃取される可能性,偽造や複製される可能性を残していることである。不正取引を防止して取引の安全性を確保するためには、何より偽造や複製が不可能であることが要求される。なお、本発明では偽造,複製及びこれらに類似する概念を含めて偽造という。また、取引の迅速性を損なうことなく、不正取引を防止することの実効性を担保するためには、情報としてスムースに伝達可能であることが求められる。そこで、本発明は偽造不可能で、情報として伝達可能であり、更に取引者の殆どが所有している事物に着目して研究を進めた結果、その条件を満たす事物として、架電時に発信者番号通知として着信先に通知される発信者番号25に着目した。
【0049】
発信者番号通知とは、架電時に発信者(即ち、取引者1)の電話回線番号(電話番号)を発信者番号25として着信先(即ち、金融機関Uのサーバ)に通知するサービスであり、着信側は通知された発信者番号25を情報として入手できる。この発信者番号25についても、従前、具体的には平成17年より前には偽装表示され、真正な発信先と思って電話に出ると詐欺等の被害にあうといった事件が発生し社会問題となっていた。そのため、「一般社団法人電気通信事業者協会」によって平成17年に「発信者番号偽装表示ガイドライン」が策定され、このガイドラインに沿って伝送路設備を保有する電気通信事業者(即ち、通信キャリア75)によって必要な対策が取られているため、現在では偽造されるおそれがない。また、架電行為によって自動的に情報が伝達されるため、情報伝達のための煩瑣な手続を必要とすることなく、かつ、万人が利用可能である。携帯電話5の普及率は人口に対しても既に120%を超えており、スマートフォン5aも50%から急速に普及しているため、ITインフラとして確立している。特に、インターネットバンキング等の利用者にとって、スマートフォン5aは最も身近な情報ツールとなっている。
【0050】
そこで、本発明では、伝達可能で偽造不可能な情報として携帯電話5の発信者番号25、特にはスマートフォン5aの発信者番号25を追加認証Aの鍵として利用することとした。なお、発信者番号25に限ることなく、伝達可能で偽造不可能な情報であれば他の情報を利用することもできる。
【0051】
Web上の追加認証アプリ6を介して取引者1からの架電を受信した金融機関Uのサーバは、着信21を確認した後(ワンコール後)、回線切断23をする。これによって、取引者1の使用するスマートフォン5aの発信者番号25は、通信キャリア75の電話網77を介して情報として、金融機関Uのサーバに伝達され、金融機関Uのサーバは発信者番号及び着信番号取得22を行うことができる。
【0052】
[手順2:金融機関Uのサーバが手順1で伝達された発信者番号25と予め金融機関Uのサーバに登録した取引者1の登録発信者番号161の契合を照合・判断する手順。]
取引者1から伝達された発信者番号25を情報として取得した金融機関Uのサーバは、利用者管理データベース100に登録した登録発信者番号管理情報160における登録発信者番号161との照合判断26を行うための発信者番号照会24を実施する。発信者番号25と登録発信者番号161が相違する場合は、追加認証Aを未了として処理終了27を行い、申込取引内容131に示す取引の実行を不可として処理する。
【0053】
[手順3:金融機関Uのサーバが手順2で契合した登録発信者番号161を鍵として取引者1の契約者番号15を取得する手順。]
発信者番号25と登録発信者番号161が一致した場合は、登録発信者番号161を鍵として、利用者管理データベース100に登録した契約者管理情報170における契約者番号15を取得する契約者番号取得16を実施する。
【0054】
また、取引者1が金融機関Uのサーバへの架電に使用した電話番号7が真正の番号であることを照合判断するために利用者管理データベース100に登録した着信番号管理情報180における着信番号181との照合判断29を行うための着信番号照会28を実施する。なお、金融機関Uのサーバは、着信番号181を、第2着信番号182から第n着信番号183まで複数準備しておき、定期的に変更することにより、より安全性を強固とすることができる。また、着信番号管理情報180には、必要に応じてその他の着信番号情報184を登録しておくことが可能である。Web上の追加認証アプリ6を使用する場合は、追加認証アプリ6上で定期的に又はその都度変更するようにするとよい。そして、着信番号181が一致する場合は、手順4に示す照合項目1〜3の照合を実施する。一方、取引者1が架電した電話番号7が真正の着信番号181と相違する場合は、追加認証Aを未了として処理終了30を行い、申込取引内容131による取引の実行を不可として処理する。
【0055】
[手順4:金融機関Uのサーバが手順3で取得した契約者番号15と前処理10で取得した契約者番号15の契合によって、前処理10で取得した情報から下記の照合項目1〜3の充足の有無を照合・判断する手順。]
金融機関Uのサーバは、手順3で取得した契約者番号15を鍵として、前処理10で取得した各種情報に対して、照合項目1〜3の充足の有無を照合判断32をする照合事項照会31を行う。
【0056】
照合項目1:取引内容が特定され、かつ、確定していること。
照合項目2:本認証を完了していること。
照合項目3:本認証完了から所定の時間内であること。
【0057】
先ず、追加認証Aの対象となる特定の取引としての申込取引内容131が特定され、かつ、取引を特定するために要求される項目(契約者,口座名,口座番号,その他)について確定していることを照合項目1として、追加認証データCに取引情報130として記録されている申込取引内容131に対して照合判断32をする。次に、追加認証Aは本認証Rを完了していることが前提であるため、本認証Rの完了/未了を照合項目2として照合判断32をする。更に、本認証完了3から設定された所定の時間内であることを照合項目3として、追加認証データCの取引設定日情報140及び取引設定時刻情報150に記録された当日141,本認証完了時刻151に対して照合判断32をする。なお、照合項目1〜3に付加して他の項目を照合項目としてもよい。
【0058】
[手順5:金融機関Uのサーバが手順4に示す照合項目1〜3が充足していると判断した場合に追加認証Aを完了とする手順。]
そして、照合項目1〜3が全て一致する場合は、手順5に示すように、追加認証Aを完了し、認証情報110を追加認証完了40に更新する。これにより、本認証R及び追加認証Aの双方を完了し、特定の取引実行200を行う。特定の取引実行200が完了すると後処理50を行い、追加認証データCを特定の取引申込前60の状態にリセット210し、認証情報110を未了115に、契約者番号情報120,取引情報130,取引設定日情報140,取引設定時刻情報150を、それぞれブランク125,135,145,155となるように更新する。一方、照合項目1〜3の1つでも相違する場合は、追加認証Aを未了として処理終了33を行い、申込取引内容131による取引の実行を不可として処理する。また、追加認証完了40後に監視タイマ起動35を行い、特定の取引実行200が可能な状態から設定した一定時間内に特定の取引実行200がされない場合、及び前記した処理終了27,30,33を行った場合にも後処理50を行い、追加認証データCを特定の取引申込前60の状態にリセット210して更新する。
【0059】
[IB取引]
上記構成の本発明にかかる金融機関における本人認証方法を使用したIB取引67(インターネットバンキング取引)について、図7に示す基本構成図に基づき説明する。取引者1がインターネット端末250のWebブラウザから、インターネット270を介してIBアクセス251を行って、金融機関Uのサーバとの間にセキュリティ通信確立230を行うことにより、金融機関Uのサーバはログイン画面取得231を行ってインターネット端末250にログイン画面252を表示する。取引者1はログイン画面252の要求に従って、認証アイテム70(ID253,ログインパスワード254)を入力して、ログイン255をする。
【0060】
金融機関Uのサーバは、認証アイテム照会232によって、本認証Rとして、入力された認証アイテム70(ID253,ログインパスワード254)の正否を照合判断233する認証アイテム照会232を利用者管理データベース100に対して行い、認証アイテム70が利用者管理データベース100に登録されている認証アイテムと一致している場合は所定のログイン処理を行って、インターネット端末250にログイン完了画面258を表示し、その後、取引画面259を表示する。一方、認証アイテム70が相違する場合は、エラー処理234をして、その情報をインターネット端末250上に表示して再入力を促すか、取引を終了する等の所定の処理を行う。
【0061】
次に、取引者1は取引画面259から、取引情報130,取引確認番号260を入力し、金融機関Uのサーバは取引確認番号照会235を行う。取引情報130は取引者1が金融機関Uのサーバに対して要求する特定の取引を特定するための情報、具体的には取引者1から金融機関Uのサーバに伝達された申込取引内容131である。取引確認番号260は取引時のパスワードであり、ログインに際して使用するログインパスワード254とは別に付与される。金融機関Uのサーバは、取引確認番号照会235によって、入力された取引確認番号260の正否の照合判断236をして、一致している場合は本認証Rを本認証完了3とする。一方、取引確認番号260が相違する場合は、エラー処理237をして、その情報をインターネット端末250上に表示して再入力を促すか、取引を終了する等の所定の処理を行う。ここまでの本認証Rの処理方法は従来のIB取引と同様である。
【0062】
本認証完了3をした金融機関Uのサーバは、取引者1から入力された本認証Rの認証アイテム70に紐付けされた取引者1の契約者番号15を利用者管理データベース100から取得して、追加認証データCにおける各種情報を取得するために必要な前処理10を行う。その内容は前述したとおり、認証情報110,契約者番号情報120,取引情報130,取引設定日情報140,取引設定時刻情報150,その他必要な情報である。
【0063】
前処理10を完了した金融機関Uのサーバは、インターネット270を介してインターネット端末250に追加認証依頼画面262を表示し、取引者1に追加認証Aを要求する。この追加認証処理20の要請を金融機関Uのサーバから受けた取引者1は、スマートフォン5aにWeb上の追加認証アプリ6を起動させ、その表示に従って、通信キャリア75の電話網77を介して発信8をし、金融機関Uのサーバに架電する。金融機関Uのサーバは、取引者1からの架電を着信21した後、切断23を行うことにより、取引者1のスマートフォン5aの発信者番号25(電話番号)を情報として入手し、前述した手順で追加認証処理20を行い、追加認証完了40によって、本認証R及び追加認証Aの双方による本人認証P(図2参照)が完了するため、取引処理38を行って、勘定系システム190によって取引実行191を行う。
【0064】
併せて、インターネット270を介してインターネット端末250に取引完了画面263を表示するとともに、図6に示すように監視タイマ起動35をして、所定の時間経過した後に後処理50を行い、追加認証データCをリセット210をして特定の取引申込前60の状態に更新する。なお、本認証Rが完了しない場合、及び追加認証Aが完了しない場合にも同様に追加認証データCを特定の取引申込前60の状態に更新する。
【0065】
[ATM取引]
上記構成の本発明にかかる金融機関における本人認証方法を使用したATM取引66(キャッシュカード又は通帳と暗証番号を使用した取引)について、図8に示す基本構成図に基づき説明する。取引者1は、ATM300から、認証アイテム70(キャッシュカード301又は通帳302)を挿入し、取引情報303と認証アイテム70(暗証番号304)の入力を金融機関Uの閉域網320から行う。金融機関UのサーバはATM300から入力された入力電文チェック310を行うとともに、本認証Rとして、入力された認証アイテム70(キャッシュカード301又は通帳302及び暗証番号304)の正否を照合判断312する認証アイテム照会311を利用者管理データベース100に対して行い、認証アイテム70が利用者管理データベース100に登録されている認証アイテムと一致している場合は、本認証Rを本認証完了3とする。ここまでの本認証Rの処理方法は従来のATM取引と同様である。一方、認証アイテム70が相違する場合は、エラー処理313をして、その情報を閉域網320を介してATM300上に表示して再入力を促すか、取引を終了する等の所定の処理を行う。
【0066】
本認証完了3をした金融機関Uのサーバは、取引者1から入力された本認証Rの認証アイテム70に紐付けされた取引者1の契約者番号15を利用者管理データベース100から取得して、追加認証データCにおける各種情報を取得するために必要な前処理10を行う。その内容は前述したとおり、認証情報110,契約者番号情報120,取引情報130,取引設定日情報140,取引設定時刻情報150,その他必要な情報である。
【0067】
前処理10を完了した金融機関Uのサーバは、ATM300に追加認証依頼画面305を表示し、取引者1に追加認証Aを要求する。この追加認証処理20の要求を金融機関Uのサーバから受けた取引者1は、スマートフォン5aにWeb上の追加認証アプリ6を起動させ、その表示に従って、通信キャリア75の電話網77を介して発信8をし、金融機関Uのサーバに架電する。金融機関Uのサーバは、取引者1からの架電を着信21した後、切断23を行うことにより、取引者1のスマートフォン5aの発信者番号25(電話番号)を情報として入手し、前述した手順で追加認証処理20を行い、追加認証完了40によって、本認証R及び追加認証Aの双方による本人認証P(図2参照)が完了するため、取引処理38を行って、勘定系システム190によって取引実行191を行う。
【0068】
併せて、閉域網320を介してATM300に取引完了画面306を表示するとともに、図6に示すように監視タイマ起動35をして、所定の時間経過した後に後処理50を行い、追加認証データCをリセット210して特定の取引申込前60の状態に更新する。なお、本認証Rが完了しない場合、及び追加認証Aが完了しない場合にも同様に追加認証データCを特定の取引申込前60の状態に更新する。
【0069】
[窓口取引]
上記構成の本発明にかかる金融機関における本人認証方法を使用した窓口取引68について、図9に示す基本構成図に基づき説明する。取引者1は、窓口350において取引内容を記載した取引伝票351及び認証アイテム70として通帳352,印影353を金融機関Uの窓口職員に提出する。金融機関Uの窓口職員はこれらを受領し、入力電文チェック370を行うとともに、本認証Rとして、入力された認証アイテム70(通帳352,印影353)の正否を照合判断372する認証アイテム照会371を利用者管理データベース100に対して行い、認証アイテム70が利用者管理データベース100に登録されている認証アイテムと一致している場合は、本認証Rを本認証完了3とする。ここまでの本認証Rの処理方法は従来の窓口取引と同様である。一方、認証アイテム70が相違する場合は、エラー処理373をして、その情報を窓口職員から取引者1に伝達して再提出を促すか、取引を終了する等の所定の処理を行う。
【0070】
本認証完了3をした金融機関Uのサーバは、取引者1から入力された本認証Rの認証アイテム70に紐付けされた取引者1の契約者番号15を利用者管理データベース100から取得して、追加認証データCにおける各種情報を取得するために必要な前処理10を行う。その内容は前述したとおり、認証情報110,契約者番号情報120,取引情報130,取引設定日情報140,取引設定時刻情報150,その他必要な情報である。
【0071】
前処理10を完了した金融機関Uのサーバは、取引者1に追加認証依頼355をし、取引者1に追加認証処理20を要求する。この追加認証処理20の要請を金融機関Uのサーバから受けた取引者1は、スマートフォン5aにWeb上の追加認証アプリ6を起動させ、その表示に従って、通信キャリア75の電話網77を介して発信8をし、金融機関Uのサーバに架電する。金融機関Uのサーバは、取引者1からの架電を着信21した後、切断23を行うことにより、取引者1のスマートフォン5aの発信者番号25(電話番号)を情報として入手し、前述した手順で追加認証処理20を行い、追加認証完了40によって、本認証R及び追加認証Aの双方による本人認証P(図2参照)が完了するため、取引処理38を行って、勘定系システム190によって取引実行191を行う。
【0072】
併せて、窓口職員から取引者1に取引完了報告356を伝達するとともに、図6に示すように監視タイマ起動35をして、所定の時間経過した後に後処理50を行い、追加認証データCをリセット210して特定の取引申込前60の状態に更新する。なお、本認証Rが完了しない場合、及び追加認証Aが完了しない場合にも同様に追加認証データCを特定の取引申込前60の状態に更新する。
【産業上の利用可能性】
【0073】
以上記載した本発明の特徴の第1は、金融機関との特定の取引において、取引者の主体的能力の有無を金融機関が判断するための本人認証方法として、従来の本人認証手段であるところの、予め金融機関のサーバに登録した認証アイテムと、取引者から金融機関に提示する認証アイテムとの契合を金融機関のサーバが照合・判断する方法(本発明における本認証)に、本認証から分離独立しているとともに、伝達可能で偽造不可能な情報である携帯電話の発信者番号を使用した追加認証を組み合わせて、本認証完了後に追加認証による認証を必要とするようにしたことである。よって、従来の本人認証手段である本認証の認証アイテムが窃取されたり、偽造された場合でも、追加認証の存在によって不正な取引を確実に防ぐことができ、従来の本人認証システムの持つ脆弱性を確実にカバーして取引の安全性を確実に担保することができる。また、追加認証は取引者が携帯電話から通信キャリアの電話網を通じて金融機関のサーバに架電するだけでよいので、取引の迅速性を損なうこともなく、誰もが安心して金融機関と円滑に取引することが可能となる。
【0074】
本発明の特徴の第2は、追加認証の可否を判断する鍵として、伝達可能で偽造不可能な情報である取引者の携帯電話の発信者番号を使用することによって、従来の認証アイテムのように偽造されるリスクを排除することができるとともに、物(携帯電話)と情報(発信者番号)の両面から二重に安全を確保することができることである。
【0075】
本発明の特徴の第3は、追加認証に際して、発信者番号の照合・判断に加えて、追加認証を完了する条件として、3つの照合項目を充足することを必要としていることである。照合項目1として「取引内容が特定され、かつ、確定していること。」を要求しているため、口座単位で行われ、口座全体を取引可能とする本認証のみからなる従来の本人認証と異なり、本認証を完了した特定の取引のみを対象としているため、特定の取引毎にその都度、取引の安全性を担保することが可能である。
【0076】
照合項目2として「本認証を完了していること。」を要求しているため、追加認証は本認証とは別に本認証の後に行われるため、仮に本認証が不正な手段によって突破されたとしても追加認証によって不正な取引を防止することができ、フェイルセーフ(fail-safe)を実現することができる。
【0077】
照合項目3として「本認証完了から所定の時間内であること。」を要求しているため、本人認証の時間を任意に設定することができ、本認証と追加認証を連動させて一体として機能させることが可能となり、偽造不可能で伝達可能な情報である発信者番号を使用する追加認証に時間設定という安全策を付加することができる。
【0078】
本発明の特徴の第4は、発信者番号を鍵として電話網を使用して金融機関のサーバに伝達することであり、いつでも何処でも使用することが可能であり、迅速性が要求される取引の実効性を損なうことがない。しかも、Web上のアプリを利用するため、スマートフォン等の携帯電話にアプリをインストールしておく必要がなく、携帯電話を交換した場合でも同一の電話番号であれば、そのまま使用することができ、しかも、取引者,金融機関ともに着信さえすればよいため、通信料が発生しない。更に、携帯電話を紛失しても携帯電話自体をロックしておけば追加認証による取引の安全性確保の担保を維持することができる。
【0079】
更に、本認証の認証アイテムを第三者に託したとしても、追加認証は取引者本人が実行することが可能であり、特に、これからの高齢化社会において、高齢者や要介護者が第三者に金融取引を依頼する場合においても、取引の安全性を自ら或いは家族が制御することができる。
【符号の説明】
【0080】
U…金融機関
P…本人認証
R…本認証
A…追加認証
10…前処理
20…追加認証処理
50…後処理
1…取引者
3…本認証完了
5…携帯電話
5a…スマートフォン
6…追加認証アプリ
7…電話番号
8…発信
15…契約者番号
16…契約者番号取得
21…着信
23…回線切断
24…発信者番号照会
25…発信者番号
26,29,32,233,236,312,372…照合判断
27,30,33…処理終了
28…着信番号照会
31…照合事項照会
35…監視タイマ起動
38…取引処理
40…追加認証完了
60…特定の取引申込前
65…特定の取引申込
66…ATM取引
67…IB取引
68…窓口取引
70…認証アイテム
75…通信キャリア
77…電話網
100…利用者管理データベース
110…認証情報
120…契約者番号情報
130,303…取引情報
131…申込取引内容
140…取引設定日情報
141…当日
150…取引設定時刻情報
151…本認証完了時刻
125,135,145,155…ブランク
160…登録発信者番号管理情報
161…登録発信者番号
170…契約者管理情報
180…着信番号管理情報
181…着信番号
190…勘定系システム
191…取引実行
200…特定の取引実行
210…リセット
230…セキュリティ通信確立
231…ログイン画面取得
232,311,371…認証アイテム照会
235…取引確認番号照会
234,237,313,373…エラー処理
250…インターネット端末
251…IBアクセス
252…ログイン画面
253…ID
254…ログインパスワード
255…ログイン
258…ログイン完了画面
260…取引確認番号
262,305…追加認証依頼画面
263,306…取引完了画面
300…ATM
301…キャッシュカード
302…通帳
304…暗証番号
310,370…入力電文チェック
320…閉域網
350…窓口
351…取引伝票
352…通帳
353…印影
355…追加認証依頼
356…取引完了報告
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.