キャッシュカード

提供: miniwiki
移動先:案内検索
ファイル:ATM cards by banks in Japan.png
ICチップ内蔵カード(上2つ)と磁気ストライプカード(一番下)。口座番号などがエンボス加工され、磁気カードには黒色の磁気ストライプが入る。
ファイル:SURUGA IC Cash Card.jpg
デビットカード機能付きキャッシュカード。表面にクレジットカード番号が記載され、挿入方向もカードリーダ用とATM用のものが別々に表示される。

キャッシュカード: Cash card)、またはATMカード(ATM card)、バンクカード(Bank card)は、金融機関が口座開設者に発行するカードで、ATMを操作する際の本人確認に供する。幅広く普及した磁気ストライプカードと、安全性を高めたICカードがある。

歴史

電算化が行われる以前より、日本においては預金通帳を介した取引が行われ、預金払戻しの意思確認は届出印の捺印に拠っているが、勘定処理の電算化、オンライン化により、口座開設者が自ら現金自動支払機 (CD) を操作して預金の引出を行う装置が可能になり、その際に認証に用いる媒体として預金通帳と届出印に代えてキャッシュカードと暗証取引が登場した。最初期のキャッシュカードは、カードに鑽孔した、パンチカードに近いものであった。1960年代以降、磁気ストライプカード挿入と4桁の暗証番号の打鍵で認証を行う方式は、現在もっとも普及している。取引内容も当初の預金払戻しに加えて、預入、振込、定期預金の預入、宝くじ購入など範囲が広がってきた。

一方で、犯罪に用いられる技術も高度になり、第三者がスキミングで偽造カードを作出して、預金を不正に引き出す事例も増えている。これに対抗するために、カードに暗証番号を記録しない、偽造の困難なICカードへの移行、生体認証の導入が図られている。近時、キャッシュカードを取引証としても用い、預金通帳を省略した預金口座も、三菱UFJ銀行三井住友銀行三井住友信託銀行新生銀行りそな銀行などで開設できる。一部を除く日本の銀行のキャッシュカードは、ジェイデビット (J-Debit) システムによるデビットカードとしての使用が可能であり、銀行口座の残高を以って、J-Debit加盟店での決済に利用できる。

通常、発行には申込から1週間から2週間程度(クレジットカード一体型は、クレジット部分の発行審査を含めて1ヶ月前後ないしはそれ以上)かかり、簡易書留ゆうメール等で送付される。金融機関によっては、普通預金のみのカードなど、一部のカードについては、申込のその場で受け取ることができるサービスを提供する場合もある。近年では、地方銀行や第二地銀などでも発行するケースが見られるようになってきたが、窓口に在庫のある白カードに磁気ストライプやICチップにデータを書き込んで、券面に口座番号等をプリントするエンボスレスカードが発行できるシステムを以前に比べて導入しやすくなったこと等が挙げられる。

なお、生体認証対応のICつきカードが即時発行できる場合は、その場で生体認証も同時に登録できるケースもある。このケースでは、金融機関によっては、即時発行するキャッシュカードへ生体認証を登録することにより、印鑑に代わって本人確認を行う形になっている。

キャッシュカードの構造と種類

一般的に幅85.60 mm、高さ53.98 mm、厚さ0.76 mmサイズのプラスチック製で、これはISO (ISO/IEC 7810) やJIS (JIS X 6301) によって規定されているカードサイズである。口座番号や氏名の文字がエンボス加工されて刻印されている。現在普及しているキャッシュカードは、プラスチックに磁気帯をつけた磁気ストライプカードと、更にICチップを搭載したICチップ内蔵カードがある。2010年代になると、発行する金融機関の銀行名や統一金融機関コードなどに由来する点字がエンボスされたキャッシュカードも登場するようになっている。

磁気ストライプカード

プラスチックの本体に刻印を施し、磁気ストライプをつけて、口座番号等の情報を磁気情報で記録したもの。ATMでは、記録された磁気情報のみを用いて手続きを行う。強い磁気に晒されると磁気情報が破損して使用できなくなることがある。この磁気情報は、他のカードリーダ等で読み書きする事が可能であり、真正なキャッシュカードの情報を取り出して他のカードに記録する事でATMから見て真正なカードと見分けのつかない偽造カードを作出し現金を引き出すという犯罪が行われた。この偽造カードに対抗するためにICキャッシュカードが開発された。

エンコード方式とATM

日本と、アメリカ合衆国を含めた諸外国とでは、キャッシュカードなど金融取引に使われる、カードの磁気エンコードの方式が異なる。

JIS X 6302では、裏面磁気ストライプカード(JIS I 型)用のエンコード方式と、おもて面磁気ストライプカード(JIS II 型)用のエンコード方式を規定している。JIS I 型用の方式はISO/IEC 7811と一致しており、クレジットカードや国際航空運送協会 (IATA) 加盟の航空会社の会員カードに採用されている。JIS II 型用の方式は、日本独自の規格であり、日本の銀行キャッシュカードに採用されている。

国内金融機関のATMで両方に対応するものは、従前は外国銀行またはゆうちょ銀行が設置するATMしか無かった。コンビニATMでは、セブン銀行ATMが両方の磁気エンコードに対応するクレジットカード及びICキャッシュカード対応し、他のATMでも徐々に対応するのが多くなってきた。

ICチップ内蔵カード

上記の磁気ストライプカードの本体に、更にICチップを搭載して機能と安全性を高めたもの。安全性を高めるため磁気ストライプを搭載せず、ICチップのみを搭載したカードも存在するが、利用上の制約も多いため、本格的な普及には至っていない。

カード毎に異なる鍵情報をICチップ内に内蔵し、この鍵を用いてATMと暗号通信を行う機能を持つ。カード内の暗号鍵そのものが、外部とやり取りされるわけではないので、同じ情報を持つ偽造カードを作出することは困難である。ただしリバースエンジニアリング等の手法により、メモリ内の暗号鍵が直接読み出された場合(現時点では、耐タンパー機能や計算量的に出来ないとされる)や、通信内容から暗号鍵を推測された場合には複製も可能となる。物理的・電気的に、ICチップが破壊されると使用できなくなる。

日本国内用のICキャッシュカードについては、一般社団法人全国銀行協会が策定した接触型ICチップの方式を原則として採用している。

生体認証カード

上記のICチップ内蔵カードに、生体認証に用いる情報を追加記録したものである。ATMで用いられる生体認証として、掌の静脈パターンを読み取る方法と、指の静脈パターンを読み取る方法の2種類が採用されている。

キャッシュカードの安全管理

ATMは、挿入されたカード本体と、与えられる認証情報とを用いて、目前の人物が当該口座開設者か否かを確認する。盗難カードの使用、偽造カードの作成と使用、暗証番号の入手や推測などの手段を用いて第三者がATMを欺いて不正に口座取引、なかんづく預金払戻しや他口座への振込みの操作を行う事が可能である。これを防ぐためにICカード化や生体認証の導入などの対策が図られる。

カードそのものの盗難と不正使用

磁気カードや、生体認証を用いないICカードでは、第三者が真正カードと暗証番号を入手して不正操作を行う事が可能である。

  • 空き巣や車上荒らしでキャッシュカードと共に免許証や保険証等を盗み出し、これらの書類に記載されている生年月日・住居の番地・電話番号等から暗証番号を推測して不正操作を行う例がある。
  • また、ATM操作中に肩越しに覗き見たり肘や腕の動きから入力している番号を推測し(ショルダーハッキング)、そのうえでバッグを引ったくったりカードをスリ取るなどして、不正操作を行う例もある。
  • 盗み見る者、引ったくる者、現金を引き出す者が分業しているために首謀者を特定しにくく、警察の捜査が難航して検挙率は低い。

カードの盗難について、金融機関側は暗証番号の漏洩が無ければ依然、安全であるとして、生年月日等、他の情報から容易に推測される番号を避けること、また、適宜暗証番号を変更するなどの対策を呼びかけた。また、2004年秋より、ATMで1日に取引できる限度額を順次下げて、被害が大きくなるのを防ぐとした。

偽造カードの作成

殊に、磁気カードでは、同一形式のカードが銀行オンラインシステム以外にも用いられる様になるとともにカードリーダ等の機器の入手も容易となり、キャッシュカードの磁気帯の情報を読み取ったり偽造カードを作成する事も困難ではなくなってきた。認証に関わる磁気情報が全て露出しているのに加えて、その情報を別のカードに記録する事も容易であることから、スキミングによる偽造カードの作出と、それを使用した不正操作が社会問題となった。

  • 磁気情報窃盗で、空き巣に入っても物を取らずに、キャッシュカードの磁気情報だけを読み出し機で読み出すと共に暗証番号推測に役立つ情報を書き取り、別所で偽造カードを作成して不正操作に及ぶ例が見られる。
  • 2004年には、銀行のATMコーナーに、安全対策を騙りカード読み取り機を置き、カードを通して暗証番号入力を求める事件があった。誤ってカードを通して暗証番号を入力した利用者の中から被害に遭った例もある。
  • 2005年1月に明るみに出た群馬県のゴルフ場でのスキミングによる不正引出しでは、ゴルフ場職員が犯罪に加担した。キャッシュカードの暗証番号をロッカーに設定するケースが多い点に目をつけ、貴重品ロッカーをマスターキーで開けてカードから磁気情報を読み取ると共に、管理機能で利用者が設定した暗証番号も読み取り不正操作に及ぶ。
  • 2005年後半にはATMに盗撮カメラを仕掛けてキャッシュカード表面の文字や番号等と、暗証番号を入力する様子を撮影し、得られた情報から磁気情報を作出してカードに記録し、これを用いて預金不正引出しに及んだ例も確認された。
  • 2006年11月には、「あなたはNHK受信料の支払状況が良く懸賞金を進呈するので、口座番号と暗証番号を教えてほしい」と電話をかけ、キャッシュカードを偽造する事件が発生した。
  • 2008年11月には、健康食品会社から流出した個人の口座番号を元に偽造カードが作成された疑いが強い不正引出し事件が発覚した。暗証番号は電話による残高照会サービスを利用して割り出した模様で、スキミングとは異なる手口[1]

カードの盗難では、被害に気づいたら、すぐに届け出て口座やカードを凍結できるが、スキミングではカードそのものは本人の手許にあるため、通帳への記帳や利用明細をチェックするまで被害に遭った事に気づかない。

他、生体認証カードでは1日の引き出し限度額が最大で20倍程度になる点を悪用し、特殊詐欺の手段として生体認証カードを作らせて現金を騙し取る例が、東京都内で多発している[2]

デビットカード

銀行ならびにコンビニに設置されているATMには監視カメラが設えられており、カードの不正使用に際しては容貌を記録に取られるリスクがある。しかし、小売店のレジ等には監視カメラが無い事が珍しくなく、記録を取られるリスクなく不正使用が可能となる。ただし、顔貌の特徴点をいかに高精度に記録できる防犯カメラが設置されていようとも、顔面の一部または全体や身体的特徴を違和感なく隠蔽する手段は複数考えられるため、一定の効果は期待できるが、いわゆるプロによる犯行を阻止、あるいは検挙の手がかりとするには充分とはいえないとする見方もできる。同時に、小売店のPOS端末等のセキュリティに関しては問題が指摘されている。

不正使用への対応

盗難カードや偽造カードを用いた不正引出しを防止するための対策がとられている。一方で、実際に発生した不正使用と、それに伴う被害の補償については、漸く対応がとられる様になってきた。

対策

磁気カード対応のATMは、コンビニエンスストア設置のものも含めて既に多数が配置されており、ICカードへの切り替えや生体認証方式の導入には時間と費用がかかることから、下記の様な対策がとられている。

当座の対策

暗証番号の漏洩を防いだり、ATMの利用方法を制限するために、以下に挙げる対策が採られている。

  • ATM・テレホンバンキング等で暗証番号の変更を受け付ける
  • ATMで暗証番号を入力する際、数字の配列を並び替える(この方法は数字をタッチパネルに入力する機種に限られる)
  • 金融機関が暗証番号をチェックし、個人情報から推測可能なものの場合には変更を推奨する(暗証番号の変更の際に、新番号が同様のものの場合は受付を制限する場合もある)
  • ワンタイムパスワード方式を用いて1回毎に異なる暗証番号を使用する
  • 金融機関ごとに下記の何れかの方法で預金払い戻し・振込み可能金額を引き下げる
    • 一律に限度額を決定する
    • 口座開設者が自分で限度額を設定する
  • 口座開設者が自分でATMの使用可能時間を限定する設定を行う
  • 口座開設者が自分で通常はATMで使用できないように設定しておき、使用の都度携帯電話等で一時的に使用可能にする

金融機関によっては、不正支払をより抑止するために、キャッシュカードを発行せず、口座開設店において対面での手続きのみを行う預金口座を取扱開始したところもある。

偽造カードへの対策

磁気カードでは前述の様に同じ情報を持つカードを複製する事が容易であるが、ICカードは原理的に同じ情報を持つカードを複製することは不可能とされており、切り替えが行われている。

第三者による不正使用への対策

暗証番号による認証方式は、暗証番号の情報そのものが個人から独立しているものであり、口座開設者本人の不注意や、ソーシャルエンジニアリングによって漏洩し、第三者に渡る可能性がある。生体認証では本人の肉体の特徴に由来する情報を認証に用いる事で、第三者によるなり済ましを防止する効果が期待される。

被害への対応

日本における盗難カードや偽造カードの被害については、預金者保護法施行(2006年2月10日施行)の前後で対応が大きく変わる。

預金者保護法施行前

金融機関は、挿入された磁気カードに記録された情報と入力された暗証番号を正規のものと認めて行った払い戻しについて、結果に責任を負わないとするカード利用規定(全銀協によるカード利用規定試案第10条第2項 (PDF) )をたてに、本来の口座開設者の重ねての預金払い出しを拒む。

  • 当該規定については、民法第478条に根拠が求められる。同条文では、債務の返済にあたり、善意無過失で弁済した相手が真の債権者ではなかった場合でも、その返済は有効であり、改めて真の債権者に弁済する必要は無いと規定している。これを預金の払戻しに類推適用し、機械処理で正しい磁気情報を持つカードを所持し且つ正しい暗証番号を提示する人物を真の口座開設者と認めるのは何ら問題が無く、善意無過失であると主張する。尚、同規定については、根拠を民法第480条に求める見解や、いずれの条文にも根拠を求めない独立したものとする見解もある。
  • 裁判では、カードや暗証番号の管理に落ち度が無いこと、且つ、不正操作が行われるに至った一連の経緯を詳らかにして被害を偽装したものではないこと、そして、現行のオンラインシステムが偽造カードの存在を許す事実をもって、無権限者による不正払い出しを排除するシステムを構築する努力を怠ったとして民法第478条にいう善意無過失とは言えない事を口座開設者側が証明する必要があり、補償を勝ち取るのは困難である。尚、現時点(2006年2月)では偽造カードによる不正引出しを許すオンラインシステムに対する民法第478条の適用の可否や、規定の有効性について判断する裁判所判決は無い。

しかし偽造カードによる不正引き出しが増加し社会問題化していることから、預金者保護法が制定・施行された。

預金者保護法施行後

預金者保護法は、不正払い戻しに対する民法第478条の適用を除外し、預金を補償する規定である。同法の下では、盗難カードや偽造カードなどで預金が不正に払い出された場合であっても、金融機関善意かつ無過失であって、かつ預金者本人に重大な過失があることを金融機関が証明した場合を除き、預金は全額補償される。なお、預金者本人の重過失とは、暗証番号を故意に他人に教えたり、カード表面に暗証番号を記入したりした場合を指す。

但し、同法が適用されるのは個人の口座に限り、また、盗難カードや偽造カードによる被害に限定される。法人の口座や、盗難通帳による被害は対象外である。

また、盗難カードや偽造カードをデビットカードとして使用した場合も、同法の範囲外である。

海外での対応

アメリカの銀行では「50ドル保護法」という銀行が実施する預金者保護があり、預金が不正に引き出されても、2日以内に銀行に連絡すれば、免責金額の50ドルを超えた分は全額補償される。イギリスでも同様に預金者を保護する「50ポンド保護法」が存在している。

脚注

  1. 「会員情報からカード偽造 地銀など9機関 被害総額4億1000万円」産経新聞、2008年11月12日付朝刊27面。
  2. 相次ぐ「生体認証カード」詐欺 ATM引き出し限度額の20倍 警視庁 産経新聞 2015年10月18日

関連項目