キャッシュカード
キャッシュカード(Cash card、またはATMカード、ATM card、バンクカード、Bank card)は、金融機関が口座開設者に発行するカードで、ATMを操作する際の本人確認に供する。幅広く普及した磁気カードと、安全性を高めたICカードがある。
目次
歴史
電算化が行われる以前より、日本においては預金通帳を介した取引が行われ、預金払戻しの意思確認は届出印の捺印に拠っているが、勘定処理の電算化、オンライン化により、口座開設者が自ら現金自動支払機 (CD) を操作して預金の引出を行う装置が可能になり、その際に認証に用いる媒体として預金通帳と届出印に代えてキャッシュカードと暗証取引が登場した。最初期のキャッシュカードは、カードに鑽孔した、パンチカードに近いものであった。
1960年代以降の磁気カード挿入と暗証番号の打鍵で認証を行う方式は、現在もっとも普及している。取引内容も当初の預金払戻しに加えて、預入、振込、定期預金の預入、宝くじ購入など範囲が広がってきた。一方で、犯罪に用いられる技術も高度になり、第三者が偽造カードを作出して預金を不正に引き出す事例も増えている。これに対応するために偽造の困難なICカードへの移行、生体認証の導入が図られている。
近時、キャッシュカードを取引証としても用い、預金通帳を省略した預金口座も三井住友銀行、住友信託銀行、新生銀行、りそな銀行などで開設できる。
一部を除く日本の銀行のキャッシュカードは、ジェイデビット (J-Debit) システムによるデビットカードとしての使用が可能であり、銀行口座の残高を以ってJ-Debit加盟店での決済に利用できる。
キャッシュカードの構造と種類
一般的に幅85.60 mm、高さ53.98 mm、厚さ0.76 mmサイズのプラスチック製で、これはISO (ISO/IEC 7810) やJIS (JIS X 6301) によって規定されているカードサイズである。口座番号や氏名の文字がエンボス加工されて刻印されている(Suica一体型カードやゆうちょ銀行のゆうちょICキャッシュカード、VISAデビットカードなどはエンボスレスで、カード表面に口座番号・カード番号等が印字されている)。現在普及しているキャッシュカードは、プラスチックに磁気帯をつけた磁気ストライプカードと、更にICチップを搭載したICチップ内蔵カードがある。
磁気ストライプカード
テンプレート:Main プラスチックの本体に刻印を施し、磁気ストライプをつけて、口座番号等の情報を磁気情報で記録したもの。ATMでは、記録された磁気情報のみを用いて手続きを行う。強い磁気に晒されると磁気情報が破損して使用できなくなることがある。
この磁気情報は、他のカードリーダ等で読み書きする事が可能であり、真正なキャッシュカードの情報を取り出して他のカードに記録する事でATMから見て真正なカードと見分けのつかない偽造カードを作出し現金を引き出すという犯罪が行われた。この偽造カードに対抗するためにICキャッシュカードが開発された。
エンコード方式とATM
日本と、米国を含めた諸外国とでは、キャッシュカードなど金融取引に使われるカードの磁気エンコードの方式が異なる。 JIS X 6302では、裏面磁気ストライプカード(JIS I 型)用のエンコード方式と、おもて面磁気ストライプカード(JIS II 型)用のエンコード方式を規定している。JIS I 型用の方式はISO/IEC 7811と一致しており、クレジットカードや国際航空運送協会 (IATA) 加盟の航空会社の会員カードに採用されている。JIS II 型用の方式は日本独自の規格であり、日本の銀行のキャッシュカードに採用されている。
国内金融機関のATMで両方に対応するものは、外国銀行またはゆうちょ銀行が設置するATMなどが多かった。コンビニATMでは、両方の磁気エンコードに対応するクレジットカード及びICキャッシュカード対応のものが多くなってきた。
ICチップ内蔵カード
上記の磁気ストライプカードの本体に、更にICチップを搭載して機能と安全性を高めたもの。カード毎に異なる鍵情報をICチップ内に内蔵し、この鍵を用いてATMと暗号通信を行う機能を持つ。カード内の暗号鍵そのものが外部とやり取りされるわけではないので、同じ情報を持つ偽造カードを作出することは困難とされる。
ただしリバースエンジニアリング等の手法によりメモリ内の暗号鍵が直接読み出された場合(現時点では計算量的に困難とされる)や、通信内容から暗号鍵を推測された場合には複製も可能となる。
現在、みずほ銀行・三菱東京UFJ銀行・三井住友銀行・セブン銀行・みずほ信託銀行・三菱UFJ信託銀行・ゆうちょ銀行などで採用されているが、カードの種類によっては有効期限が定められていたり、発行・更改に手数料がかかるものもある。
物理的・電気的にICチップが破壊されると使用できなくなる。
生体認証カード
上記のICチップ内蔵カードに、生体認証に用いる情報を追加記録したものである。ATMで用いられる生体認証として、手のひらの静脈パターンを読み取る方法と、指の静脈パターンを読み取る方法の2種類が採用されている。手のひら方式は三菱東京UFJ銀行(旧東京三菱店、および旧UFJ店で新システム稼働後に発行されたカード)、青森銀行、七十七銀行、群馬銀行、南都銀行、広島銀行、名古屋銀行、城南信用金庫などで、指先方式はみずほ銀行や三井住友銀行、ゆうちょ銀行、りそな銀行、埼玉りそな銀行、秋田銀行、北都銀行、荘内銀行、山形銀行、岩手銀行、みちのく銀行、東邦銀行、東北銀行、北海道銀行、常陽銀行、武蔵野銀行、千葉銀行、横浜銀行、スルガ銀行、百五銀行、京都銀行、近畿大阪銀行、山陰合同銀行、百十四銀行、みずほ信託銀行、三井住友信託銀行、京都信用金庫などで採用されている。摂津水都信用金庫のように手のひら方式から指先方式に乗り換えた例もある。
生体認証を採用するに関しては、三菱東京UFJ銀行及び親密行、富士通製ATMを主に採用する金融機関が掌(金融機関向け掌認証は、元は富士通の規格)、それ以外、特に日立製作所及び日立オムロン (Leadus) 製ATMを主として採用する金融機関(金融機関向け指静脈認証は、元は日立とLeadusの共同規格)が指先方式を採用する傾向がある。沖電気工業製のATMは最初からどちらの認証方式でも対応できるような設計が施されている(沖は金融機関向けの生体認証規格を独自に持っていない)が、傾向としては指認証採用行での稼働が多い。
2006年2月時点では相互に互換性は無いが、今後は各々の系列で、他方の方式にかかわる生体認証情報もICチップに追加記録し、最終的にはどちらの生体認証方式のATMでも使えるように検討されている。
キャッシュカードの安全管理
ATMは、挿入されたカード本体と、与えられる認証情報とを用いて、目前の人物が当該口座開設者か否かを確認する。盗難カードの使用、偽造カードの作成と使用、暗証番号の入手や推測などの手段を用いて第三者がATMを欺いて不正に口座取引、なかんづく預金払戻しや他口座への振込みの操作を行う事が可能である。これを防ぐためにICカード化や生体認証の導入などの対策が図られる。
カードそのものの盗難と不正使用
磁気カードや、生体認証を用いないICカードでは、第三者が真正カードと暗証番号を入手して不正操作を行う事が可能である。
- 空き巣や車上荒らしでキャッシュカードと共に免許証や保険証等を盗み出し、これらの書類に記載されている生年月日・住居の番地・電話番号等から暗証番号を推測して不正操作を行う例がある。
- また、ATM操作中に肩越しに覗き見たり肘や腕の動きから入力している番号を推測し(ショルダーハッキング)、そのうえでバッグを引ったくったりカードをスリ取るなどして、不正操作を行う例もある。
- 盗み見る者、引ったくる者、現金を引き出す者が分業しているために首謀者を特定しにくく、警察の捜査が難航して検挙率は低い。
カードの盗難について、金融機関側は暗証番号の漏洩が無ければ依然、安全であるとして、生年月日等、他の情報から容易に推測される番号を避けること、また、適宜暗証番号を変更するなどの対策を呼びかけた。また、2004年秋より、ATMで1日に取引できる限度額を順次下げて、被害が大きくなるのを防ぐとした。
偽造カードの作成
殊に、磁気カードでは、同一形式のカードが銀行オンラインシステム以外にも用いられる様になるとともにカードリーダ等の機器の入手も容易となり、キャッシュカードの磁気帯の情報を読み取ったり偽造カードを作成する事も困難ではなくなってきた。認証に関わる磁気情報が全て露出しているのに加えて、その情報を別のカードに記録する事も容易であることから、スキミングによる偽造カードの作出と、それを使用した不正操作が社会問題となった。
- 磁気情報窃盗で、空き巣に入っても物を取らずに、キャッシュカードの磁気情報だけを読み出し機で読み出すと共に暗証番号推測に役立つ情報を書き取り、別所で偽造カードを作成して不正操作に及ぶ例が見られる。
- 2004年には、銀行のATMコーナーに、安全対策を騙りカード読み取り機を置き、カードを通して暗証番号入力を求める事件があった。誤ってカードを通して暗証番号を入力した利用者の中から被害に遭った例もある。
- 2005年1月に明るみに出た群馬県のゴルフ場でのスキミングによる不正引出しでは、ゴルフ場職員が犯罪に加担した。キャッシュカードの暗証番号をロッカーに設定するケースが多い点に目をつけ、貴重品ロッカーをマスターキーで開けてカードから磁気情報を読み取ると共に、管理機能で利用者が設定した暗証番号も読み取り不正操作に及ぶ。
- 2005年後半にはATMに盗撮カメラを仕掛けてキャッシュカード表面の文字や番号等と、暗証番号を入力する様子を撮影し、得られた情報から磁気情報を作出してカードに記録し、これを用いて預金不正引出しに及んだ例も確認された。
- 2006年11月には、「あなたはNHK受信料の支払状況が良く懸賞金を進呈するので、口座番号と暗証番号を教えてほしい」と電話をかけ、キャッシュカードを偽造する事件が発生した。
- 2008年11月には、健康食品会社から流出した個人の口座番号を元に偽造カードが作成された疑いが強い不正引出し事件が発覚した。暗証番号は電話による残高照会サービスを利用して割り出した模様で、スキミングとは異なる手口[1]。
カードの盗難では、被害に気づいたら、すぐに届け出て口座やカードを凍結できるが、スキミングではカードそのものは本人の手許にあるため、通帳への記帳や利用明細をチェックするまで被害に遭った事に気づかない。
デビットカード
銀行ならびにコンビニに設置されているATMには監視カメラが設えられており、カードの不正使用に際しては容貌を記録に取られるリスクがある。しかし、小売店のレジ等には監視カメラが無い事が珍しくなく、記録を取られるリスクなく不正使用が可能となる。ただし、顔貌の特徴点をいかに高精度に記録できる防犯カメラが設置されていようとも、顔面の一部または全体や身体的特徴を違和感なく隠蔽する手段は複数考えられるため、一定の効果は期待できるが、いわゆるプロによる犯行を阻止、あるいは検挙の手がかりとするには充分とはいえないとする見方もできる。
同時に、小売店のPOS端末等のセキュリティに関しては問題が指摘されている。
不正使用への対応
盗難カードや偽造カードを用いた不正引出しを防止するための対策がとられている。一方で、実際に発生した不正使用と、それに伴う被害の補償については、漸く対応がとられる様になってきた。
対策
磁気カード対応のATMは、コンビニエンスストア設置のものも含めて既に多数が配置されており、ICカードへの切り替えや生体認証方式の導入には時間と費用がかかることから、下記の様な対策がとられている。
当座の対策
暗証番号の漏洩を防いだり、ATMの利用方法を制限するために、以下に挙げる対策が採られている。
- ATM・テレホンバンキング等で暗証番号の変更を受け付ける
- ATMで暗証番号を入力する際、数字の配列を並び替える(この方法は数字をタッチパネルに入力する機種に限られる)
- 金融機関が暗証番号をチェックし、個人情報から推測可能なものの場合には変更を推奨する(暗証番号の変更の際に、新番号が同様のものの場合は受付を制限する場合もある)
- ワンタイムパスワード方式を用いて1回毎に異なる暗証番号を使用する
- 金融機関ごとに下記の何れかの方法で預金払い戻し・振込み可能金額を引き下げる
- 一律に限度額を決定する
- 口座開設者が自分で限度額を設定する
- 口座開設者が自分でATMの使用可能時間を限定する設定を行う
- 口座開設者が自分で通常はATMで使用できないように設定しておき、使用の都度携帯電話等で一時的に使用可能にする
金融機関によっては、不正支払をより抑止するために、キャッシュカードを発行せず、口座開設店において対面での手続きのみを行う預金口座を取扱開始したところもある。
偽造カードへの対策
磁気カードでは前述の様に同じ情報を持つカードを複製する事が容易であるが、ICカードは原理的に同じ情報を持つカードを複製することは不可能とされており、切り替えが行われている。
第三者による不正使用への対策
暗証番号による認証方式は、暗証番号の情報そのものが個人から独立しているものであり、口座開設者本人の不注意や、ソーシャルエンジニアリングによって漏洩し、第三者に渡る可能性がある。生体認証では本人の肉体の特徴に由来する情報を認証に用いる事で、第三者によるなり済ましを防止する効果が期待される。
被害への対応
日本における盗難カードや偽造カードの被害については、預金者保護法施行(2006年2月10日施行)の前後で対応が大きく変わる。
預金者保護法施行前
金融機関は、挿入された磁気カードに記録された情報と入力された暗証番号を正規のものと認めて行った払い戻しについて、結果に責任を負わないとするカード利用規定(テンプレート:PDFlink)をたてに、本来の口座開設者の重ねての預金払い出しを拒む。
- 当該規定については、民法第478条に根拠が求められる。同条文では、債務の返済にあたり、善意無過失で弁済した相手が真の債権者ではなかった場合でも、その返済は有効であり、改めて真の債権者に弁済する必要は無いと規定している。これを預金の払戻しに類推適用し、機械処理で正しい磁気情報を持つカードを所持し且つ正しい暗証番号を提示する人物を真の口座開設者と認めるのは何ら問題が無く、善意無過失であると主張する。尚、同規定については、根拠を民法第480条に求める見解や、いずれの条文にも根拠を求めない独立したものとする見解もある。
- 裁判では、カードや暗証番号の管理に落ち度が無いこと、且つ、不正操作が行われるに至った一連の経緯を詳らかにして被害を偽装したものではないこと、そして、現行のオンラインシステムが偽造カードの存在を許す事実をもって、無権限者による不正払い出しを排除するシステムを構築する努力を怠ったとして民法第478条にいう善意無過失とは言えない事を口座開設者側が証明する必要があり、補償を勝ち取るのは困難である。尚、現時点(2006年2月)では偽造カードによる不正引出しを許すオンラインシステムに対する民法第478条の適用の可否や、規定の有効性について判断する裁判所判決は無い。
しかし偽造カードによる不正引き出しが増加し社会問題化していることから、預金者保護法が制定・施行された。
預金者保護法施行後
預金者保護法は、不正払い戻しに対する民法第478条の適用を除外し、預金を補償する規定である。同法の下では、盗難カードや偽造カードなどで預金が不正に払い出された場合であっても、金融機関が善意かつ無過失であって、かつ預金者本人に重大な過失があることを金融機関が証明した場合を除き、預金は全額補償される。なお、預金者本人の重過失とは、暗証番号を故意に他人に教えたり、カード表面に暗証番号を記入したりした場合を指す。
但し、同法が適用されるのは個人の口座に限り、また、盗難カードや偽造カードによる被害に限定される。法人の口座や、盗難通帳による被害は対象外である。
また、盗難カードや偽造カードをデビットカードとして使用した場合も、同法の範囲外である。
海外での対応
アメリカの銀行では「50ドル保護法」という銀行が実施する預金者保護があり、預金が不正に引き出されても、2日以内に銀行に連絡すれば、免責金額の50ドルを超えた分は全額補償される。イギリスでも同様に預金者を保護する「50ポンド保護法」が存在している。