キャッシュカード

出典: フリー百科事典『ウィキペディア（Wikipedia）』

キャッシュカード(cash card,または、バンクカード、bank card、ATMカード、ATM card)は、金融機関が口座開設者に発行するカードで、ATMを操作する際の本人確認に供する。幅広く普及した磁気カードと、安全性を高めたICカードがある。なお、国内で発行されるキャッシュカードのほとんどはジェイデビット（J-Debit）システムによるデビットカード機能を持っている。

[編集] 沿革

電算化が行われる以前より、日本においては預金通帳を介した取引が行われ、預金払戻しの意思確認は届出印の捺印に拠っているが、勘定処理の電算化、オンライン化により、口座開設者が自ら現金自動支払機(CD)を操作して預金の引出を行う装置が可能になり、その際に認証に用いる媒体として預金通帳と届出印に代えてキャッシュカードと暗証取引が登場した。最初期のキャッシュカードは、カードに鑽孔した、パンチカードに近いものであった。

1960年代以降の磁気カード挿入と暗証番号の打鍵で認証を行う方式は、現在もっとも普及している。取引内容も当初の預金払戻しに加えて、預入、振込、定期預金の預入、宝くじ購入など範囲が広がってきた。一方で、犯罪に用いられる技術も高度になり、第三者が偽造カードを作出して預金を不正に引き出す事例も増えている。これに対応するために偽造の困難なICカードへの移行、生体認証の導入が図られている。

近時、キャッシュカードを取引証としても用い、預金通帳を省略した預金口座も三井住友銀行、住友信託銀行、新生銀行等で発売されている。

また、一部を除く日本の銀行のキャッシュカードは、デビットカードとしての使用が可能であり、銀行口座の残高を以って小売店での決済が可能である。

[編集] キャッシュカードの構造と種類

一般的に幅85.6mm、高さ54.0mm、厚さ0.76 mmサイズのプラスチック製で、これはISOやJISによって規定されているカードサイズである。口座番号や氏名の文字がエンボス加工されて刻印されている。（Suica一体型カードや日本郵政公社の郵便貯金ICキャッシュカード、VISAデビットカードなどはエンボスレスで、カード表面に口座番号・カード番号等が印字されている。）現在普及しているキャッシュカードは、プラスチックに磁気帯をつけた磁気カードと、更にICを搭載したICカードがある。

[編集] 磁気カード

プラスチックの本体に刻印を施し、磁気帯をつけて、口座番号等の情報を磁気情報で記録したもの。ATMでは、記録された磁気情報のみを用いて手続きを行う。この磁気情報を他のカードリーダ等で読み書きする事が可能であり、真正なキャッシュカードの情報を取り出して他のカードに記録する事でATMから見て真正なカードと見分けのつかない偽造カードを作出できる。

日本と、米国を含めた諸外国とでは、キャッシュカードなど金融取引に使われるカードの磁気エンコードの方式が異なるため、国内金融機関のATMで両方に対応するものは、外国銀行または日本郵政公社が設置するATMなどが多い。

日本国内で使用されている磁気エンコード方式にはJISⅠ型とJISⅡ型がある。

強い磁気に晒されると磁気情報が破損して使用できなくなることがある。

[編集] ICカード

上記の磁気カードの本体に、更にICを搭載して機能と安全性を高めたもの。カード毎に異なる鍵情報をIC内に内蔵し、この鍵を用いてATMと暗号通信を行う機能を持つ。カード内の暗号鍵そのものが外部とやり取りされるわけではないので、同じ情報を持つ偽造カードを作出することは困難とされる。

ただしリバースエンジニアリング等の手法によりメモリ内の暗号鍵が直接読み出された場合や、(現時点では計算量的に困難とされるが)通信内容から暗号鍵を推測された場合には複製も可能となる。

現在日本郵政公社･三菱東京UFJ銀行（旧東京三菱・旧UFJのいずれも採用している。）・みずほ銀行・三井住友銀行・セブン銀行などで採用されているが、カードの種類によっては有効期限が定められていたり、発行・更改に手数料がかかるものもある。

物理的にICが破壊されると使用できなくなることがある。

[編集] 生体認証カード

上記のICカードに、生体認証に用いる情報を追加記録したものである。ATMに用いられる生体認証として、手のひらの静脈パターンを読み取る方法と、指先の静脈パターンを読み取る方法の2種類が採用されている。手のひら方式は三菱東京UFJ銀行（旧東京三菱店の口座）、青森銀行、七十七銀行、南都銀行、広島銀行、城南信用金庫などで、指先方式はみずほ銀行や三井住友銀行、日本郵政公社、りそな銀行、埼玉りそな銀行、秋田銀行、荘内銀行、山形銀行、岩手銀行、京都銀行、近畿大阪銀行、京都信用金庫などで採用されている。

現時点(2006年2月)では相互に互換性は無いが、今後は各々の系列で、他方の方式にかかわる生体認証情報もICに追加記録し、最終的にはどちらの生体認証方式のATMでも使える様になる。

[編集] キャッシュカードの安全管理

ATMは、挿入されたカード本体と、与えられる認証情報とを用いて、目前の人物が口座開設者か否かを確認する。盗難カードの使用、偽造カードの作成と使用、暗証番号の入手や推測などの手段を用いて第三者がATMを欺いて不正に口座取引、なかんづく預金払戻しや他口座への振込みの操作を行う事が可能である。これを防ぐためにICカード化や生体認証の導入などの対策が図られる。

[編集] カードそのものの盗難と不正使用

磁気カードや、生体認証を用いないICカードでは、第三者が真正カードと暗証番号を入手して不正操作を行う事が可能である。

空き巣や車上荒らしでキャッシュカードと共に免許証や保険証等を盗み出し、これらの書類に記載されている生年月日・住居の番地・電話番号等から暗証番号を推測して不正操作を行う例がある。

また、ATM操作中に肩越しに覗き見たり肘や腕の動きから入力している番号を推測し(ショルダーハッキング)、そのうえでバッグを引ったくったりカードをスリ取るなどして、不正操作を行う例もある。

盗み見る者、引ったくる者、現金を引き出す者が分業しているために首謀者を特定しにくく、警察の捜査が難航して検挙率は低い。

カードの盗難ついて、金融機関側は暗証番号の漏洩が無ければ依然、安全であるとして、生年月日等、他の情報から容易に推測される番号を避けること、また、適宜暗証番号を変更するなどの対策を呼びかけた。また、2004年秋より、ATMで1日に取引できる限度額を順次下げて、被害が大きくなるのを防ぐとした。

[編集] 偽造カードの作成

殊に、磁気カードでは、同一形式のカードが銀行オンラインシステム以外にも用いられる様になるとともにカードリーダ等の機器の入手も容易となり、キャッシュカードの磁気帯の情報を読み取ったり偽造カードを作成する事も困難ではなくなってきた。認証に関わる磁気情報が全て露出しているのに加えて、その情報を別のカードに記録する事も容易であることから、スキミングによる偽造カードの作出と、それを使用した不正操作が社会問題となった。

磁気情報窃盗で、空き巣に入っても物を取らずに、キャッシュカードの磁気情報だけを読み出し機で読み出すと共に暗証番号推測に役立つ情報を書き取り、別所で偽造カードを作成して不正操作に及ぶ例が見られる。

2004年には、銀行のATMコーナーに、安全対策を騙りカード読み取り機を置き、カードを通して暗証番号入力を求める事件があった。誤ってカードを通して暗証番号を入力した利用者の中から被害を被った例もある。

2005年1月に明るみに出た群馬県のゴルフ場でのスキミングによる不正引出しでは、ゴルフ場職員が犯罪に加担した。キャッシュカードの暗証番号をロッカーに設定するケースが多い点に目をつけ、貴重品ロッカーをマスターキーで開けてカードから磁気情報を読み取ると共に、管理機能で利用者が設定した暗証番号も読み取り不正操作に及ぶ。

2005年後半にはATMに盗撮カメラを仕掛けてキャッシュカード表面の文字や番号等と、暗証番号を入力する様子を撮影し、得られた情報から磁気情報を作出してカードに記録し、これを用いて預金不正引出しに及んだ例も確認された。

2006年11月には、「あなたはNHK受信料の支払状況が良く懸賞金を進呈するので、口座番号と暗証番号を教えてほしい」と電話をかけ、キャッシュカードを偽造する事件が発生した。

カードの盗難では、被害に気づいたら、すぐに届け出て口座やカードを凍結できるが、スキミングではカードそのものは本人の手許にあるため、通帳への記帳や利用明細をチェックするまで被害に遭った事に気づかない。

[編集] デビットカード

銀行ならびにコンビニに設置されているATMには監視カメラが設えられており、カードの不正使用に際しては容貌を記録に取られるリスクがある。しかし、小売店のレジ等には監視カメラが無い事が珍しくなく、記録を取られるリスクなく不正使用が可能となる。

同時に、小売店のPOS端末等のセキュリティに関しては問題が指摘されている。

[編集] 不正使用への対応

盗難カードや偽造カードを用いた不正引出しを防止するための対策がとられている。一方で、実際に発生した不正使用と、それに伴う被害の補償については、漸く対応がとられる様になってきた。

[編集] 対策

磁気カード対応のATMは、コンビニエンスストア設置のものも含めて既に多数が配置されており、ICカードへの切り替えや生体認証方式の導入には時間と費用がかかることから、下記の様な対策がとられている。

[編集] 当座の対策

暗証番号の漏洩を防いだり、ATMの利用方法を制限する

ATMで暗証番号を変更することを可能とする
金融機関が暗証番号をチェックし、個人情報から推測可能なものの場合には変更を推奨する
ワンタイムパスワード方式を用いて1回毎に異なる暗証番号を使用する
金融機関ごとに下記の何れかの方法で預金払い戻し・振込み可能金額を引き下げる
- 一律に限度額を決定する
- 口座開設者が自分で限度額を設定する
口座開設者が自分でATMの使用可能時間を限定する設定を行う

金融機関によっては、不正支払をより抑止するために、キャッシュカードを発行せず、口座開設店において対面での手続きのみを行う預金口座を取扱開始したところもある。

[編集] 偽造カードへの対策

磁気カードでは前述の様に同じ情報を持つカードを複製する事が容易であるが、ICカードは原理的に同じ情報を持つカードを複製することは不可能とされており、切り替えが行われている。

[編集] 第三者による不正使用への対策

暗証番号による認証方式は、暗証番号の情報そのものが個人から独立しているものであり、口座開設者本人の不注意や、ソーシャルエンジニアリングによって漏洩し、第三者に渡る可能性がある。生体認証では本人の肉体の特徴に由来する情報を認証に用いる事で、第三者によるなり済ましを防止する効果が期待される。

[編集] 被害への対応

日本における盗難カードや偽造カードの被害については、預金者保護法施行(2006年2月10日施行)の前後で対応が大きく変わる。

[編集] 預金者保護法施行前

金融機関は、挿入された磁気カードに記録された情報と入力された暗証番号を正規のものと認めて行った払い戻しについて、結果に責任を負わないとするカード利用規定（全銀協によるカード利用規定試案弟10条弟2項）をたてに、本来の口座開設者の重ねての預金払い出しを拒む。

当該規定については、民法第478条に根拠が求められる。同条文では、債務の返済にあたり、善意無過失で弁済した相手が真の債権者ではなかった場合でも、その返済は有効であり、改めて真の債権者に弁済する必要は無いと規定している。これを預金の払戻しに類推適用し、機械処理で正しい磁気情報を持つカードを所持し且つ正しい暗証番号を提示する人物を真の口座開設者と認めるのは何ら問題が無く、善意無過失であると主張する。尚、同規定については、根拠を民法第480条に求める見解や、いずれの条文にも根拠を求めない独立したものとする見解もある。

裁判では、カードや暗証番号の管理に落ち度が無いこと、且つ、不正操作が行われるに至った一連の経緯を詳らかにして被害を偽装したものではないこと、そして、現行のオンラインシステムが偽造カードの存在を許す事実をもって、無権限者による不正払い出しを排除するシステムを構築する努力を怠ったとして民法第478条にいう善意無過失とは言えない事を口座開設者側が証明する必要があり、補償を勝ち取るのは困難である。尚、現時点(2006年2月)では偽造カードによる不正引出しを許すオンラインシステムのに対する民法第478条の適用の可否や、規定の有効性について判断する裁判所判決は無い。

しかし偽造カードによる不正引き出しが増加し社会問題化していることから、預金者保護法が制定・施行された。

[編集] 預金者保護法施行後

預金者保護法は、不正払い戻しに対する民法弟478条の適用を除外し、預金を補償する規定である。同法の下では、盗難カードや偽造カードなどで預金が不正に払い出された場合であっても、金融機関が善意かつ無過失であって、かつ預金者本人に重大な過失があることを金融機関が証明した場合を除き、預金は全額補償される。なお、預金者本人の重過失とは、暗証番号を故意に他人に教えたり、カード表面に暗証番号を記入したりした場合を指す。

但し、同法が適用されるのは個人の口座に限り、また、盗難カードや偽造カードによる被害に限定される。法人の口座や、盗難通帳による被害は対象外である。

また、盗難カードや偽造カードをデビットカードとして使用した場合も、同法の範囲外である。

[編集] 海外での対応

アメリカの銀行では「50ドル保護法」という銀行が実施する預金者保護があり、預金が不正に引き出されても、2日以内に銀行に連絡すれば、免責金額の50ドルを超えた分は全額補償される。イギリスでも同様に預金者を保護する「50ポンド保護法」が存在している。

カテゴリ: キャッシュカード