JP2006085446A - カード不正使用防止システム - Google Patents
カード不正使用防止システム Download PDFInfo
- Publication number
- JP2006085446A JP2006085446A JP2004269712A JP2004269712A JP2006085446A JP 2006085446 A JP2006085446 A JP 2006085446A JP 2004269712 A JP2004269712 A JP 2004269712A JP 2004269712 A JP2004269712 A JP 2004269712A JP 2006085446 A JP2006085446 A JP 2006085446A
- Authority
- JP
- Japan
- Prior art keywords
- card
- information
- approval
- prevention system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
【課題】 クレジットカードやキャッシュカードによる取引内容をそのカード名義人に対して通知して正当性を確認することで、第三者による当該カードの不正使用防止に有効なカード不正使用防止システムを提供する。
【解決手段】 小売の店舗1にて商品購入した代金決済がクレジットカードを利用して行われると、その取引内容は決済管理センター10に送信され、決済情報から取引内容を認識するのに必要な情報をセキュリティ管理部20から当該カードの名義人の登録済み連絡先である携帯電話など携帯端末4に電子メールなどで通知される。通知を受けたカード名義人はそのカード取引が自ら覚えがない場合は直ちに通知元であるセキュリティ管理部20を経由して決済管理センター10に急報される。決済管理センター10は当該カード取引が無効である旨のエラー信号などを店舗1のカード決済端末装置2に送信するとともに、それ以降のカード使用を差し止める。
【選択図】 図1
【解決手段】 小売の店舗1にて商品購入した代金決済がクレジットカードを利用して行われると、その取引内容は決済管理センター10に送信され、決済情報から取引内容を認識するのに必要な情報をセキュリティ管理部20から当該カードの名義人の登録済み連絡先である携帯電話など携帯端末4に電子メールなどで通知される。通知を受けたカード名義人はそのカード取引が自ら覚えがない場合は直ちに通知元であるセキュリティ管理部20を経由して決済管理センター10に急報される。決済管理センター10は当該カード取引が無効である旨のエラー信号などを店舗1のカード決済端末装置2に送信するとともに、それ以降のカード使用を差し止める。
【選択図】 図1
Description
本発明は、クレジットカードやキャッシュカードの不正使用を防止するカード不正使用防止システムに関するものである。
近年、キャッシュカードやクレジットカードなど与信取引用のカードの盗難や偽造による不正使用が続発している。カード名義人である本人にとって、悪意の第三者による不正行為でカード取引が行われると暫くの期間、たとえば月次の請求書や月間利用明細書が本人宛に郵送されてくる最長期間1ヶ月間という期間はその不正取引を把握できず、被害額が増大してしまう危険性を負っている。月間利用明細書が送られてきて本人は初めて身に覚えの無い取引の存在を知ることになる。通常、カードを使用して物品購入の代金を決済したり、あるいは現金借入れ(キャッシング)などの与信取引が行われる場合、銀行や信販会社など金融機関ではカード発行先の顧客ごとにカード取引状況を逐一モニタしている。仮に同時刻に東京と大阪といった遠距離間で同一カードの使用が発生したような場合、それを不審取引として判断してカード名義人の本人に電話連絡して確認をとっている。しかし、それだけでは万全の処置といえず、カード名義人が認知するまでの最長1ヶ月間という不正取引が放置される期間を極力短縮して、仮に1週間ごとに利用明細書を郵送するというのでは、膨大な顧客ごとに金融機関側のコストが甚大なものとなり、顧客の立場からも煩わしく現実的ではない。る。
そうしたカード不正使用に係る諸問題を解決すべくこれまで多くの提案がなされてきた。たとえば特開2001−291034号公報や特開2002−183641号公報においても、カード不正使用防止システムや本人確認方法が開示されている。
特開2001−291034号公報
特開2002−183641号公報
しかしながら、従来のカード不正利用防止システム、そして上記2つの公報に記載のカード不正使用防止システムや本人確認方法のいずれにおいても、カード名義人本人が金融機関から通知を受けて第三者による不正取引を認知するまでにやはり相当な時間が掛かっており、不正使用を即時防げるという即効性に関して基本的な解決策とはなっていない。
以上の問題点に鑑み、本発明の目的は、クレジットカードやキャッシュカードによる取引内容をそのカード名義人に対して通知して正当性を確認することで、第三者による当該カードの不正使用防止に有効なカード不正使用防止システムを提供することにある。
以上の点を解決するために、本発明は次の構成を採用する。
<構成>
上記目的を達成するために、本発明による請求項1記載のカード使用不正使用システムは、クレジットカードおよびキャッシュカードを含む与信取引カードを利用した決済情報を予め登録した連絡先に対して、当該カードが利用されたことを認識させるのに必要な情報とともに通知するようにしたことを特徴とする。また、本発明による請求項2に記載のカード不正使用防止システムは、クレジットカードおよびキャッシュカードを含む与信取引カードを利用した決済情報を予め登録した連絡先に対して、当該カードが利用されたことを認識させるのに必要な情報とともに通知して承認させるようにしたことを特徴とする。
<構成>
上記目的を達成するために、本発明による請求項1記載のカード使用不正使用システムは、クレジットカードおよびキャッシュカードを含む与信取引カードを利用した決済情報を予め登録した連絡先に対して、当該カードが利用されたことを認識させるのに必要な情報とともに通知するようにしたことを特徴とする。また、本発明による請求項2に記載のカード不正使用防止システムは、クレジットカードおよびキャッシュカードを含む与信取引カードを利用した決済情報を予め登録した連絡先に対して、当該カードが利用されたことを認識させるのに必要な情報とともに通知して承認させるようにしたことを特徴とする。
クレジットカードなど与信取引用カードを使用して物品購入などの代金決済が行われた際、その取引内容をカード名義人の連絡先に通知することで、カード名義人にそのカード取引の正当性を認識させたり、あるいは承認させることにより、悪意の第三者によるカード不正利用を防止することができる。
以下、本発明の実施形態について図を用いて詳細に説明する。
<実施例1の構成>
図1は、本例のカード不正使用防止システムの構成を示す機能ブロック図である。、以下、クレジットカードの処理について説明するが、クレジットカードに限らず与信取引用であれば他カードについても適用されるものとする。市中の小売店舗1では顧客3が物品購入の際に支払代金をクレジットカードで決済可能となっており、またATM装置など利用してそのクレジットカードで現金借入れも可能となっているとする。店舗1に設置されたカード決済端末装置2は、顧客3から受け付けたカードの決済情報を銀行など金融機関の決済管理センター10、あるいは信販企業などクレジットカードを発行して管理する事業体の決済管理センター10のデータ送受信部15へWebやWAN(Wide Area Network)などのネットワーク5を介して送信するようになっている。決済情報は、利用日、利用時刻、クレジットカード番号、カード有効期限、購入商品名、購入金額、分割払いの有無と分割回数、および利用店舗名などからなっている。
図1は、本例のカード不正使用防止システムの構成を示す機能ブロック図である。、以下、クレジットカードの処理について説明するが、クレジットカードに限らず与信取引用であれば他カードについても適用されるものとする。市中の小売店舗1では顧客3が物品購入の際に支払代金をクレジットカードで決済可能となっており、またATM装置など利用してそのクレジットカードで現金借入れも可能となっているとする。店舗1に設置されたカード決済端末装置2は、顧客3から受け付けたカードの決済情報を銀行など金融機関の決済管理センター10、あるいは信販企業などクレジットカードを発行して管理する事業体の決済管理センター10のデータ送受信部15へWebやWAN(Wide Area Network)などのネットワーク5を介して送信するようになっている。決済情報は、利用日、利用時刻、クレジットカード番号、カード有効期限、購入商品名、購入金額、分割払いの有無と分割回数、および利用店舗名などからなっている。
決済管理センター10では顧客3ごとにすべての顧客情報を管理し、発行カードによる取引情報を統合して収集するようになっており、顧客情報を格納した顧客情報データベース12を管理する顧客管理モジュール11が備わっている。銀行発行カードであるならば、その顧客情報データベース12には当該顧客3に関する店番号、普通か当座の科目、口座番号、暗証番号などの情報、またカードが正当なものかどうか、有効期限、現在使用可能か停止状態かといった各種情報が格納されている。さらに、決済管理センター10には残高管理モジュール13が備わり、ここでは顧客3ごとにカード取引設定額を管理するとともに、カード取引時に取引金額が設定額内かどうかを判断するための残高情報を格納した残高データベース14を管理している。こうした決済管理センター10は、次に述べるセキュリティ管理部20に対して当該顧客3に関する必要な情報を提供して決済の確認処理を依頼するようになっている。
セキュリティ管理部20は、決済管理センター10からカード名義人である当該顧客3に関するクレジットカード取引において必要な情報を受け取り、顧客所有の携帯電話などのモバイル端末機、家庭や勤務先に設置されたパーソナルコンピュータといった電子メール受信可能なメール受信端末機4に送信して情報提供するメールサーバ21を備えてなっている。このメールサーバ21は、顧客3ごとに予め登録したメールアドレスとカード名義人を関連付けした情報テーブルでなっているメールアドレスデータベース22を格納し、ここから取得した必要な情報を顧客3に対して通知するメール送受信部23を備えている。
ここで、決済管理センター10からセキュリティ管理部20へ提供される上記「必要な情報」とは、上記の各種決済情報のうち、顧客3がカード名義人本人であるかどうかを認定できる最小限情報を意味し、「利用日」、「利用時刻」、「購入商品名」、そして「購入金額」からなっているものとする。
なお、本例では、決済管理センター10内においてセキュリティ管理部20を新規部門として設置したシステムが述べられるが、かかるセキュリティ管理部20を専門企業などの事業体として分離させた場合であっても本発明の主旨を達成することができる。
<実施例1の動作>
次に、かかる実施例1の動作および作用について図2の動作フローを参照して説明する。
カード名義人である顧客本人が店舗1で物品購入代金の決済をクレジットカード使用で求めると、店舗1のカード決済端末装置2から決済管理センター10へ、当該カード決済情報として利用日、利用時刻、クレジットカード番号、カード有効期限、購入商品名、購入金額、分割払いの有無と分割回数、そして利用店舗などの項目がネットワーク5を介して送信される(ステップ:S1)。決済管理センター10では、かかる決済情報を受信すると当該顧客3の債務として記録する。
次に、かかる実施例1の動作および作用について図2の動作フローを参照して説明する。
カード名義人である顧客本人が店舗1で物品購入代金の決済をクレジットカード使用で求めると、店舗1のカード決済端末装置2から決済管理センター10へ、当該カード決済情報として利用日、利用時刻、クレジットカード番号、カード有効期限、購入商品名、購入金額、分割払いの有無と分割回数、そして利用店舗などの項目がネットワーク5を介して送信される(ステップ:S1)。決済管理センター10では、かかる決済情報を受信すると当該顧客3の債務として記録する。
決済管理センター10は、店舗1のカード決済端末装置2から受信したカード情報から、当クレジットカードを利用して決済した顧客がカード名義人本人であるかどうか認定するための必要な情報のみを抽出する(ステップ:S2)。すなわち、「本人認定に必要な情報」とは、この場合、利用日と、利用時刻と、購入商品名と、そして購入金額からなっている。抽出した認定用情報は決済管理センター10のデータ送受信部15からセキュリティ管理部20へ、決済の確認処理を依頼する旨の要請情報とともに送信される。
セキュリティ管理部20は、決済管理センター10から要請された当該顧客3に関する認定用情報と確認処理要請情報を受け取ると、メールサーバ21はメールアドレスデータベース22を参照して格納されている当該カードに関する名義人とメールアドレスを読み出し、カード名義人に対してたとえば「カード取引が行われました」といったような文面の確認メールを作成し、メール送受信部23からネットワーク6を介してカード名義人所有の携帯電話などメール受信端末機4へ送信して通知する(ステップ:S3)。次のステップS4において、店舗1の店頭でカード使用した顧客3がカード名義人本人であれば、つまり顧客3は自身がカード名義人であれば、通知を受けた確認メールを読解して了承する(YeS:取引有り)。仮に、店頭先でカード使用した顧客3がカード名義人本人でない場合、別場所で確認メールを受信したカード名義人は身に覚えのない取引であるので、直ちに確認メールの送信元であるセキュリティ管理部20へたとえば「先ほどのカード取引は私ではありません」といったような文面でもってメール返信または電話連絡で急報する(No:取引無し)。
セキュリティ管理部20は、カード名義人から覚えの無いカード取引である旨の連絡を受けて決済管理センター10に転送し、決済管理センター10はカード不正利用と判断して店舗1のカード決済端末装置2へ当該カード利用無効を示す文面またはエラー信号を送信する。店舗店頭先では当該カードを持ち込んだ顧客に対して決済を拒否する旨を通告する。そうした処理に併行して、決済管理センター10は当該カードのそれ以後の利用を停止させる(ステップ:S5)。
なお、以上の実施例1においては、セキュリティ管理部20からカード名義人の携帯電話などメール受信端末機4に送信される確認メールの内容について、前述のように、「本人認定に必要な情報」として利用日、利用時刻、購入商品名、購入金額などの項目を参照するものであった。個人情報保護という観点から、本人認定に必要な情報を「利用日」と「利用時刻」と「カード利用したという事実」という最小限の情報だけでも、カード名義人は自らカード取引したか否かが判断でき、その事実がなければ直ちに返信してカード使用を差し止めることが可能である。
<実施例1の効果>
以上のように、本例では、クレジットカードなどで与信取引が行われた際、その取引内容をカード名義人に電子メールで連絡することで、カード名義人がその取引事実を確認して、取引の事実に覚えがなければ直ちに第三者による不正使用と判断して当該カード使用を差し止めて被害を防ぎ、あるいは被害を最小限に抑えることができる。
また、システムを構築するのに店舗は多大な設備投資をする必要もなく、店頭先の既存の受信端末装置を用いることができるし、銀行など金融機関や信販企業でも決済管理センター10にセキュリティ管理部20といった若干の設備を増設するだけで、特別な人員の配置も不要で経費出費を抑え、しかもカード不正防止に有効なシステムということで顧客満足を高めることができる。また、カード名義人の希望でかかるサービスを有料で契約すれば実利が期待できる。
以上のように、本例では、クレジットカードなどで与信取引が行われた際、その取引内容をカード名義人に電子メールで連絡することで、カード名義人がその取引事実を確認して、取引の事実に覚えがなければ直ちに第三者による不正使用と判断して当該カード使用を差し止めて被害を防ぎ、あるいは被害を最小限に抑えることができる。
また、システムを構築するのに店舗は多大な設備投資をする必要もなく、店頭先の既存の受信端末装置を用いることができるし、銀行など金融機関や信販企業でも決済管理センター10にセキュリティ管理部20といった若干の設備を増設するだけで、特別な人員の配置も不要で経費出費を抑え、しかもカード不正防止に有効なシステムということで顧客満足を高めることができる。また、カード名義人の希望でかかるサービスを有料で契約すれば実利が期待できる。
<実施例2の構成>
上記実施例1では、店舗1など店頭先でカード取引が行われた際にそのカード決済情報を電子メールにてカード名義人に通知することで、そのカード取引がカード名義人本人によるものか、悪意の第三者による不正使用かを監視するシステムとされた。その場合、カード名義人は所有する携帯電話などメール受信端末機でセキュリティ管理部20からの確認メールを見落としたり確認が遅れたりすると、口座から予期せぬ金額が引き落としされてしまう場合も有り得る。メール受信端末機が自宅や勤務先のパソコンの場合は特に帰宅後とか勤務中の多忙などの理由で確認するまでに時間が掛かることがある。また、確認メールで通知を受けて決済管理センター10に急報して取引停止を要請するといった手続き的な手間がある。さらには、カード使用を差し止める直前に店舗などにおいて既に不正使用者に商品が手渡されてしまっておれば、損害が発生する懸念がある。
上記実施例1では、店舗1など店頭先でカード取引が行われた際にそのカード決済情報を電子メールにてカード名義人に通知することで、そのカード取引がカード名義人本人によるものか、悪意の第三者による不正使用かを監視するシステムとされた。その場合、カード名義人は所有する携帯電話などメール受信端末機でセキュリティ管理部20からの確認メールを見落としたり確認が遅れたりすると、口座から予期せぬ金額が引き落としされてしまう場合も有り得る。メール受信端末機が自宅や勤務先のパソコンの場合は特に帰宅後とか勤務中の多忙などの理由で確認するまでに時間が掛かることがある。また、確認メールで通知を受けて決済管理センター10に急報して取引停止を要請するといった手続き的な手間がある。さらには、カード使用を差し止める直前に店舗などにおいて既に不正使用者に商品が手渡されてしまっておれば、損害が発生する懸念がある。
そこで、本例ではそうした懸念を払拭するために、メール受信端末機として自宅や勤務先のパソコンを利用せず、カード名義人が常時携帯する携帯電話などに限定して確認を急ぎ、カード決済の承認をいち早く行う構成となっている。なお、実施例1に共通する各部・各装置には同一符号を付して説明を省く。
図3は、本例の決済管理センター10の構成を示す機能ブロック図であり、この場合決済可否確認手段16を新たに設けたことが実施例1と異なる点である。決済管理センター10は、取引加盟店など小売の店舗1からの店頭先でのカード取引に関して認証の依頼を受けた際、「当該カードが有効であるか否か」、「購入金額がカード利用可能限度額以内であるか」などの確認を行う。その際、さらに決済可否確認手段16によって決済の可否確認を行うようになっている。この決済可否確認手段16は、決済管理センター10に設けられた管理サーバで動作するプログラムであり、セキュリティ管理部20に決済の可否確認を依頼するとともに、セキュリティ管理部20から決済の可否確認結果を受信し、図示しない既存の決済認証手段に通知するようになっている。この決済認証手段は、決済が有効と認められたならば取引加盟店の店舗1に対して了解した旨の応答を行い、有効性が認められず決済否の場合はエラーコードを通知するようになっている。
図4は、本例のセキュリティ管理部20の構成を示す機能ブロック図である。この場合のセキュリティ管理部20は、カード名義人と、カード名義人の連絡先であるメールアドレスや携帯端末である携帯電話の電話番号やカード名義人の保有する携帯端末を識別するための携帯端末IDを対応付けするための承認データベース41が備わっている。携帯端末IDとは、携帯端末ごとに割り振られているユニークな番号であり、個別の携帯電話の認証が可能となっている。また、本例のセキュリティ管理部20は以下の各サーバが備わっている。すなわち、携帯端末に決済の承認を行わせるための承認サーバ42、Webページを提供するためWebサーバ43、Javaアプリケーションを提供するためのAPサーバ44、メールを送信するためのメールサーバ45などである。さらに、本例のセキュリティ管理部20には、ユーザの携帯端末に対してメールやデータを送信するための通信手段46が備わっている。なお、上記承認データベース41としては、決済管理センター10の図1で示された顧客情報データベース12に上記情報を追加して含んでおればよく、セキュリティ管理部20から共通に利用することもできる。
そこで、図5は、本例で使用する携帯端末30の具体例である携帯電話の構成を示す機能ブロック図である。かかる携帯端末30としては、メール受信機能やWebアクセス機能、そしてJavaアプリケーション実行機能などといった本例で適用可能なものであれば、その他機種としてPDAやノート型パソコンであってもよい。通信手段31は、セキュリティ管理部20との通信を行うための機能部であり、セキュリティ管理部20からの問い合わせを受信して承認するためのデータ送受信、そして承認結果の送信などを行う。承認手段32は、通信手段31で受信した承認用データに基づいて顧客に対して承認のための機能を提供し、また承認操作を受け付け、通信手段31を使用して承認結果をセキュリティ管理部20に送信する機能部となっている。かかる承認手段32は、携帯電話の制御部上で動作するメールソフトやブラウザ、またはブラウザ上に表示されているHTMLページやJavaアプリケーションなどのプログラムである。また、表示手段33を有し、承認手段32からの承認情報を顧客に画面表示し、液晶パネルや有機LEDなどでなっている。さらに、入力手段34は、顧客が承認のための入力操作を行うテンキーや入力レバーやカーソルパッドなどからなっている。
<実施例2の動作>
次に、以上の構成による実施例2の動作について図6の動作フローを参照して説明する。市中の店舗1などでクレジットカードが代金決済に使用された際、通常手続きによって図1に示す店舗の決済端末装置2から決済管理センター10に当該カードの正当性認証についての依頼が送信される(ステップ:S10)。決済管理センター10では、店舗1からカード認証依頼を受信すると、当該カードの有効性、購入金額がカード利用可能限度額以内であるかどうかといった通常の確認処理を開始する。確認結果、カード正当性の確認がとれると決済可否確認手段16が起動する。決済可否確認手段16はクレジットカード番号など顧客を特定できる情報に加えて、利用日、利用時刻、購入商品名、利用金額など決済情報をセキュリティ管理部20の承認サーバ42に送信する(ステップ:S11)。承認サーバ42は、クレジットカード番号に基づいて通知すべき顧客のメールアドレス、携帯電話番号および携帯端末IDを取得する。その後、顧客から承認を得るべく顧客の携帯端末30との間で通信を開始する(ステップ:S12)。顧客は、携帯端末30にてセキュリティ管理部20と通信を行い、通知されたカード利用情報を確認し、承認または非承認の操作を行う(ステップ:S13)。顧客からの承認結果はセキュリティ管理部20に送信され(ステップ:S14)、さらに決済管理センター10へ決済可否確認結果として送信される(ステップ:S15)。決済管理センター10は、決済可の場合は店舗1の決済端末装置2に対してその旨の情報を送信し、決済否の場合は拒否情報としてのエラーを通知する。
次に、以上の構成による実施例2の動作について図6の動作フローを参照して説明する。市中の店舗1などでクレジットカードが代金決済に使用された際、通常手続きによって図1に示す店舗の決済端末装置2から決済管理センター10に当該カードの正当性認証についての依頼が送信される(ステップ:S10)。決済管理センター10では、店舗1からカード認証依頼を受信すると、当該カードの有効性、購入金額がカード利用可能限度額以内であるかどうかといった通常の確認処理を開始する。確認結果、カード正当性の確認がとれると決済可否確認手段16が起動する。決済可否確認手段16はクレジットカード番号など顧客を特定できる情報に加えて、利用日、利用時刻、購入商品名、利用金額など決済情報をセキュリティ管理部20の承認サーバ42に送信する(ステップ:S11)。承認サーバ42は、クレジットカード番号に基づいて通知すべき顧客のメールアドレス、携帯電話番号および携帯端末IDを取得する。その後、顧客から承認を得るべく顧客の携帯端末30との間で通信を開始する(ステップ:S12)。顧客は、携帯端末30にてセキュリティ管理部20と通信を行い、通知されたカード利用情報を確認し、承認または非承認の操作を行う(ステップ:S13)。顧客からの承認結果はセキュリティ管理部20に送信され(ステップ:S14)、さらに決済管理センター10へ決済可否確認結果として送信される(ステップ:S15)。決済管理センター10は、決済可の場合は店舗1の決済端末装置2に対してその旨の情報を送信し、決済否の場合は拒否情報としてのエラーを通知する。
ここで、上記ステップS12〜S14の各処理において、携帯端末30上で顧客に承認操作を行わせるための機能部である承認手段32は、電子メールとWebブラウザとの組み合わせによっても実現可能であるが、好適にはJavaアプリケーションなどのソフトウエアによって実現することが望ましい。以下は、それらJavaアプリケーション、電子メールおよびWebブラウザを用いた各処理動作である。
<Javaアプリケーションを用いる場合>
この場合、携帯端末30上の承認手段32としてJavaアプリケーションを常駐して動作させる。このため、携帯電話の場合は待ち受けAPとして動作させることが望ましい。図7はそうした場合の動作フローを示している。すなわち、セキュリティ管理部20はクレジットカード番号に基づいて特定したカード利用者の携帯端末に対して、Javaアプリケーションの起動確認の通知を行う(ステップ:S20)。携帯端末は、上記のような通知に応答してJavaアプリケーションが起動状態であるかどうかをセキュリティ管理部20に通知する(ステップ:S21)。そうした応答は、携帯端末に備わる確認機能を使用できるし、Javaアプリケーション自体がセキュリティ管理部20に返答するようにしてもよい。起動確認ができなかった場合、決済否として扱うか、それとも後述する電子メールを用いる方法に切り替える。起動確認ができた場合は)、続いて決済確認用のデータを暗号化して送信する(ステップ:S22)。送信するデータは、利用日時、利用店舗、購入金額、購入商品名などの顧客がカードの利用状況を特定するのに可能なだけの決済情報である。
この場合、携帯端末30上の承認手段32としてJavaアプリケーションを常駐して動作させる。このため、携帯電話の場合は待ち受けAPとして動作させることが望ましい。図7はそうした場合の動作フローを示している。すなわち、セキュリティ管理部20はクレジットカード番号に基づいて特定したカード利用者の携帯端末に対して、Javaアプリケーションの起動確認の通知を行う(ステップ:S20)。携帯端末は、上記のような通知に応答してJavaアプリケーションが起動状態であるかどうかをセキュリティ管理部20に通知する(ステップ:S21)。そうした応答は、携帯端末に備わる確認機能を使用できるし、Javaアプリケーション自体がセキュリティ管理部20に返答するようにしてもよい。起動確認ができなかった場合、決済否として扱うか、それとも後述する電子メールを用いる方法に切り替える。起動確認ができた場合は)、続いて決済確認用のデータを暗号化して送信する(ステップ:S22)。送信するデータは、利用日時、利用店舗、購入金額、購入商品名などの顧客がカードの利用状況を特定するのに可能なだけの決済情報である。
Javaアプリケーションはこれらのデータを受信すると、着信音やバイブレーションによって顧客に通知するとともに、図8に示すような決済情報を画面表示する(ステップ:S23)。画面には利用情報と、「承認する」および「承認しない」の選択ボタンが表示される。本例では、誤操作による承認を防ぐために、初期状態として「承認しない」が選択された状態となっている。顧客は、利用情報を確認して、承認するか否かを判断し、対応するボタンを選択して携帯電話の決定ボタンなどによって決定操作する(ステップ:S24)。Javaアプリケーションは、顧客の選択したボタンに従ってセキュリティ管理部20に承認/非承認のデータを送信する(ステップ:S25)。なお、顧客の操作がなされずタイムアウトが発生した場合、非承認として扱う。タイムアウト時間は、たとえば1分間といったように、顧客が情報を確認するのに充分な時間であるとともに、タイムアウトが発生しても店舗の業務には差し支えない程度の時間が選択される。タイムアウトとなった場合、Javaアプリケーションは前記データとともにカード利用の通知があった旨を画面に表示する。このようにすれば、Javaアプリケーションを利用することにより、クレジットカードの利用情報の確認、承認の操作が可能となる。
<電子メールとWebページを用いる場合>
上記Javaアプリケーションを用いた場合は、Javaアプリケーションに対応していない場合とか、パケット通信ができない端末などでは対応できなかった。そのような端末では、電子メールとWebアクセスによって同様な処理を実現することができる。図9は、そうした場合の動作フローである。まず、セキュリティ管理部20はWebサーバ43に対してユーザが認証を行うためのWebページを生成する(ステップ:S30)。このWebページは、今回の承認専用に生成されるものであり、承認操作が終了した後は削除される。また、WebページへのアクセスはSSLなどによって暗号化される。セキュリティ管理部20はWebサーバ43のURLを埋め込んだメールを顧客の携帯端末のメールアドレスに送信する(ステップ:S31)。顧客はメール着信があったことを着信音やバイブレーションによって知り、メールを表示する(ステップ:S32)。顧客は、メールに埋め込まれているURLを選択してWebアクセスを行い(ステップ:S33)、図7(b)に示すようなWebページを表示する(ステップ:S34)。顧客は利用情報を確認し、Javaアプリケーションを用いた場合と同様にして承認するか、しないかを決定する(ステップ:S35)。なお、承認の際のパスワードを入力させるようにしてもよい。そのようにすれば、仮にキャッシュカードと携帯電話の両方が盗難された場合でも、不正使用を防ぐことができる。承認/非承認の選択がなされると、Webサーバ43は、セキュリティ管理部20に承認/非承認のいずれかのデータを送信する(ステップ:S36)。また、顧客の操作がなされずにタイムアウトが発生した場合は非承認として取り扱う。タイムアウト時間は、たとえば1分間といったように、顧客が情報を確認するのに充分な時間であるとともに、タイムアウトが発生してもテンポの業務には差し支えない程度の時間が選択される。セキュリティ管理部20はWebサーバ43から承認か非承認のデータを受信すると、承認用Webサーバを削除する(ステップ:S37)。また、メールには前記利用情報を含めてもよい。この場合、顧客はWebページにアクセスする前に利用内容を知ることができるので、不審な利用情報があれば無視することができるので、無駄な通信費用を支払わずに済む。また、承認用Webサーバが削除された後にも受信メールを確認することにより、利用情報を確認することができる。
上記Javaアプリケーションを用いた場合は、Javaアプリケーションに対応していない場合とか、パケット通信ができない端末などでは対応できなかった。そのような端末では、電子メールとWebアクセスによって同様な処理を実現することができる。図9は、そうした場合の動作フローである。まず、セキュリティ管理部20はWebサーバ43に対してユーザが認証を行うためのWebページを生成する(ステップ:S30)。このWebページは、今回の承認専用に生成されるものであり、承認操作が終了した後は削除される。また、WebページへのアクセスはSSLなどによって暗号化される。セキュリティ管理部20はWebサーバ43のURLを埋め込んだメールを顧客の携帯端末のメールアドレスに送信する(ステップ:S31)。顧客はメール着信があったことを着信音やバイブレーションによって知り、メールを表示する(ステップ:S32)。顧客は、メールに埋め込まれているURLを選択してWebアクセスを行い(ステップ:S33)、図7(b)に示すようなWebページを表示する(ステップ:S34)。顧客は利用情報を確認し、Javaアプリケーションを用いた場合と同様にして承認するか、しないかを決定する(ステップ:S35)。なお、承認の際のパスワードを入力させるようにしてもよい。そのようにすれば、仮にキャッシュカードと携帯電話の両方が盗難された場合でも、不正使用を防ぐことができる。承認/非承認の選択がなされると、Webサーバ43は、セキュリティ管理部20に承認/非承認のいずれかのデータを送信する(ステップ:S36)。また、顧客の操作がなされずにタイムアウトが発生した場合は非承認として取り扱う。タイムアウト時間は、たとえば1分間といったように、顧客が情報を確認するのに充分な時間であるとともに、タイムアウトが発生してもテンポの業務には差し支えない程度の時間が選択される。セキュリティ管理部20はWebサーバ43から承認か非承認のデータを受信すると、承認用Webサーバを削除する(ステップ:S37)。また、メールには前記利用情報を含めてもよい。この場合、顧客はWebページにアクセスする前に利用内容を知ることができるので、不審な利用情報があれば無視することができるので、無駄な通信費用を支払わずに済む。また、承認用Webサーバが削除された後にも受信メールを確認することにより、利用情報を確認することができる。
図10(a),(b)は、メール画面およびWeb画面を示す表示例であり、画面上に他にも「口座の一次停止」のボタンを設けてもよい。その場合「口座の一時停止」が選択されるとセキュリティ管理部20には、「口座の一時停止」のデータが送信される。セキュリティ管理部20はその通知を受け取ると、決済管理センター10に対して決済可否確認結果としてエラーを通知するとともに、決済管理センター10に対して該口座の一時停止が指示された旨を通知する。決済管理センター10は、店舗の決済端末に対してエラーを通知するとともに、それ以降当該口座の一時停止の状態に置く。これにより、以降、同じくクレジットカードが使用された場合は即エラーにできるようになるので、カードが明らかに盗難されたと判断されるような場合に、カードの停止を電話などで行う手間が省ける。このようにすれば、Javaアプリケーションを利用できない携帯電話であっても、クレジットカードの利用情報の確認や承認の操作が可能となる。
<Javaアプリケーションと電子メールとWebページを併用する場合>
上記のJavaアプリケーションを用いた場合、電子メールとWebページを用いた場合を組み合わせて、Javaアプリケーションを使用しつつ、Javaアプリケーションに対応していない端末でも対応できる。図11は、そうした場合の動作フロー図であり、まずセキュリティ管理部20はWebサーバ43対してユーザが認証を行うためのWebページを生成する(ステップ:S40)。このWebページは、今回の承認専用に生成されるものであり、承認操作が終了した後は削除される。また、WebページアクセスはSSLなどによって暗号化される。セキュリティ管理部20は、Webサーバ43のURLを埋め込んだメールを顧客の携帯端末のメールアドレスに送信する(ステップ:S41)。セキュリティ管理部20は、送信したメールの内容(送信先メールアドレス、埋め込んだURLなど)の情報を送信履歴として保存しておくものとする。また、携帯電話ではJavaアプリケーションが動作しているものとする。Javaアプリケーションを用いた場合と同様に、携帯電話の場合は待ち受けAPとして動作させることが望ましい。Javaアプリケーションは、電子メールの着信があったときその情報を取得するように動作しており、着信を知ることができる(ステップ:S42)。Javaアプリケーションは電子メールの着信を検知すると、電子メールの内容のチェックを行う(ステップ:S43)。チェックする内容とは、電子メールの送信元メールアドレス、送信元メールサーバのアドレス、タイトルなどである。着信した電子メールがセキュリティ管理部20からのものであることを確認すると、JavaアプリケーションはメールからURLを取り出す(ステップ:S44)。着信した電子メールがセキュリティ管理部20からのものでなければ、Javaアプリケーションは何も行わないので、顧客は通常のメールとして受け取ることができる。
上記のJavaアプリケーションを用いた場合、電子メールとWebページを用いた場合を組み合わせて、Javaアプリケーションを使用しつつ、Javaアプリケーションに対応していない端末でも対応できる。図11は、そうした場合の動作フロー図であり、まずセキュリティ管理部20はWebサーバ43対してユーザが認証を行うためのWebページを生成する(ステップ:S40)。このWebページは、今回の承認専用に生成されるものであり、承認操作が終了した後は削除される。また、WebページアクセスはSSLなどによって暗号化される。セキュリティ管理部20は、Webサーバ43のURLを埋め込んだメールを顧客の携帯端末のメールアドレスに送信する(ステップ:S41)。セキュリティ管理部20は、送信したメールの内容(送信先メールアドレス、埋め込んだURLなど)の情報を送信履歴として保存しておくものとする。また、携帯電話ではJavaアプリケーションが動作しているものとする。Javaアプリケーションを用いた場合と同様に、携帯電話の場合は待ち受けAPとして動作させることが望ましい。Javaアプリケーションは、電子メールの着信があったときその情報を取得するように動作しており、着信を知ることができる(ステップ:S42)。Javaアプリケーションは電子メールの着信を検知すると、電子メールの内容のチェックを行う(ステップ:S43)。チェックする内容とは、電子メールの送信元メールアドレス、送信元メールサーバのアドレス、タイトルなどである。着信した電子メールがセキュリティ管理部20からのものであることを確認すると、JavaアプリケーションはメールからURLを取り出す(ステップ:S44)。着信した電子メールがセキュリティ管理部20からのものでなければ、Javaアプリケーションは何も行わないので、顧客は通常のメールとして受け取ることができる。
Javaアプリケーションは、URLの真贋を確認するために、セキュリティ管理部20に対してURL、自メールアドレス、送信元メールアドレス、送信元メールサーバアドレスなどを暗号化して送信する(ステップ:S45)。セキュリティサーバは受信したURLとメールアドレスをチェックし、送信履歴と一致しておればチェックをOKとして、不一致であればチェックNGとしてJavaアプリケーションに結果を送信する(ステップ:S46)。セキュリティ管理部20のチェックがOKの場合、Javaアプリケーションは着信音やバイブレーションによって顧客に通知するとともに、取得したURLをブラウザなどを用いて表示させる(ステップ:S47)。以後、ステップS48〜ステップS51までの操作は上記電子メールとWebページを用いた場合と同様である。なお、前述の利用情報はメールに含めてもよい。この場合、顧客はWebページにアクセスする前に利用内容を知ることができるので、不審な利用情報であればそれを無視することができ、無駄な通信費用を支払わずに済む。また、承認用Webサーバが削除された後にも受信メールを確認することにより、利用情報を確認することができる。
このようにJavaアプリケーションが起動していた場合は、セキュリティ管理部20からのメール受信を自動的に検出して、URLの確認を行うのでセキュリティの高い承認操作を行えるが、仮にJavaアプリケーションが起動しておらず、Javaアプリケーションが使用できない携帯電話であった場合でも、通常のメールとして取り扱われるので、Webアクセス機能を有してさえおれば上記電子メールとWebページを用いた場合と同様な処理が可能となる。また、セキュリティ管理部20やWebサーバ43の成りすましによってパスワードを盗まれることを防止するため、パスワード入力は携帯電話のパスワード機能を利用することとしてもよい。この場合、JavaアプリケーションやWebサーバ43にはパスワード認証結果のみが通知されるので、パスワードを盗まれることはない。また、Javaアプリケーションの管理者にメールの送信元アドレスなどの情報を通知することにしてもよい。特に、本例ではJavaアプリケーションやセキュリティ管理部20でもチェックによってエラーが発生した場合、Javaアプリケーションはメールヘッダをセキュリティ管理部20に送信して解析を助成するようにしてもよい。
<実施例2の効果>
以上説明したように、この実施例2によれば、顧客自身がカードを使用する場合は、自身の携帯端末に承認画面が現れるので、自身の携帯端末を準備しておけば、即座に承認を行うことができる。また、カードやクレジット番号が不正使用された場合でも、携帯電話に通知され、利用内容を確認して承認が行えるので、顧客にも、店舗にも、またクレジット会社にも損害が発生しない。また、前述のようにJavaアプリケーション、電子メールおよびWebページを用いた場合の例では、セキュリティ管理部20は顧客がJavaアプリケーションを起動しているか、もしくはJavaアプリケーションを利用できる環境であるかを意識せずとも通知できるので、処理を簡単にでき、コストを削減できる。また、ユーザはJavaアプリケーションを常駐させていなくても承認機能を利用できるので、使い勝手の自由度が増大する。
以上説明したように、この実施例2によれば、顧客自身がカードを使用する場合は、自身の携帯端末に承認画面が現れるので、自身の携帯端末を準備しておけば、即座に承認を行うことができる。また、カードやクレジット番号が不正使用された場合でも、携帯電話に通知され、利用内容を確認して承認が行えるので、顧客にも、店舗にも、またクレジット会社にも損害が発生しない。また、前述のようにJavaアプリケーション、電子メールおよびWebページを用いた場合の例では、セキュリティ管理部20は顧客がJavaアプリケーションを起動しているか、もしくはJavaアプリケーションを利用できる環境であるかを意識せずとも通知できるので、処理を簡単にでき、コストを削減できる。また、ユーザはJavaアプリケーションを常駐させていなくても承認機能を利用できるので、使い勝手の自由度が増大する。
1 小売店舗
2 カード決済端末装置
3 顧客
4 メール受信端末機
5,6 ネットワーク
10 決済管理センター
11 顧客管理モジュール
12 顧客情報データベース
13 残高管理モジュール
14 残高データベース
15 データ送受信部
16 決済可否確認手段
20 セキュリティ管理部
21 メールサーバ
22 メールアドレスデータベース
23 メール送受信部
30 携帯端末
32 承認手段
42 承認サーバ
43 Webサーバ
2 カード決済端末装置
3 顧客
4 メール受信端末機
5,6 ネットワーク
10 決済管理センター
11 顧客管理モジュール
12 顧客情報データベース
13 残高管理モジュール
14 残高データベース
15 データ送受信部
16 決済可否確認手段
20 セキュリティ管理部
21 メールサーバ
22 メールアドレスデータベース
23 メール送受信部
30 携帯端末
32 承認手段
42 承認サーバ
43 Webサーバ
Claims (9)
- クレジットカードおよびキャッシュカードを含む与信取引カードを利用した決済情報を予め登録した連絡先に対して、当該カードが利用されたことを認識させるのに必要な情報とともに通知するようにしたことを特徴とするカード不正使用防止システム。
- クレジットカードおよびキャッシュカードを含む与信取引カードを利用した決済情報を予め登録した連絡先に対して、当該カードが利用されたことを認識させるのに必要な情報とともに通知して承認させるようにしたことを特徴とするカード不正使用防止システム。
- 前記連絡先からカード口座の一時停止を指示できるようにしたことを特徴とする請求項1または2に記載のカード不正使用防止システム。
- 前記連絡先が当該カードの名義人所有の携帯端末である場合に、前記通知をその携帯端末で動作するプログラムに対して行うようにしたことを特徴とする請求項1または2に記載のカード不正使用防止システム。
- 前記プログラムは、承認を依頼する情報の受取手段と、承認依頼情報に基づいて承認を要求する画面を表示する表示手段と、承認または非承認かの情報を選択して連絡する送信手段と、を有することを特徴とする請求項4に記載のカード不正使用防止システム。
- 前記携帯端末への送信が電子メールである場合に、その電子メールは予め今回の取引専用に作成されたWebページへのリンクを含み、Webページには利用内容を承認するのに必要な情報とともに承認/非承認を前記カード名義人による操作で選択可能となっている請求項3,4または5のいずれかに記載のカード不正使用防止システム。
- 前記携帯端末で動作するプログラムは、電子メールの受信を検出することによってその電子メールが当該カード利用に関する承認依頼のものか否かを確認して、リンクされているWebページを自動的に表示するようにしたことを特徴とする請求項6に記載のカード不正使用防止システム。
- 前記Webページには口座の停止を前記カード名義人の操作で選択可能となっていることを特徴とする請求項7に記載のカード不正使用防止システム。
- 電子メールにもまたカード利用内容を認識させるのに必要な情報が含まれていることを特徴とする請求項6,7または8のいずれかに記載のカード不正使用防止システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004269712A JP2006085446A (ja) | 2004-09-16 | 2004-09-16 | カード不正使用防止システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004269712A JP2006085446A (ja) | 2004-09-16 | 2004-09-16 | カード不正使用防止システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006085446A true JP2006085446A (ja) | 2006-03-30 |
Family
ID=36163906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004269712A Pending JP2006085446A (ja) | 2004-09-16 | 2004-09-16 | カード不正使用防止システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006085446A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011040401A1 (ja) | 2009-09-30 | 2011-04-07 | 楽天株式会社 | クレジットカード不正防止システム |
| JP2015007969A (ja) * | 2013-05-28 | 2015-01-15 | 株式会社タイムリンク | 電子決済システム及び電子決済方法 |
| JP2015524133A (ja) * | 2012-07-20 | 2015-08-20 | インテル コーポレイション | 帯域外取引の検証のための技術 |
| JP2018169741A (ja) * | 2017-03-29 | 2018-11-01 | ソフトバンク株式会社 | 情報処理装置、情報処理方法および情報処理プログラム |
| JP2018200596A (ja) * | 2017-05-29 | 2018-12-20 | Tis株式会社 | 取引管理システム、取引管理方法、及びそのプログラム |
| WO2019142477A1 (ja) * | 2018-01-18 | 2019-07-25 | フェリカネットワークス株式会社 | 情報処理装置、情報処理方法、ユーザ端末、サービス提供装置およびサービス提供方法 |
| JP7351982B1 (ja) | 2022-07-26 | 2023-09-27 | 株式会社ジャックス | 情報処理装置及びコンピュータプログラム |
-
2004
- 2004-09-16 JP JP2004269712A patent/JP2006085446A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011040401A1 (ja) | 2009-09-30 | 2011-04-07 | 楽天株式会社 | クレジットカード不正防止システム |
| US9898727B2 (en) | 2009-09-30 | 2018-02-20 | Rakuten, Inc. | Credit card fraud prevention system |
| JP2015524133A (ja) * | 2012-07-20 | 2015-08-20 | インテル コーポレイション | 帯域外取引の検証のための技術 |
| JP2015007969A (ja) * | 2013-05-28 | 2015-01-15 | 株式会社タイムリンク | 電子決済システム及び電子決済方法 |
| JP2018169741A (ja) * | 2017-03-29 | 2018-11-01 | ソフトバンク株式会社 | 情報処理装置、情報処理方法および情報処理プログラム |
| JP2018200596A (ja) * | 2017-05-29 | 2018-12-20 | Tis株式会社 | 取引管理システム、取引管理方法、及びそのプログラム |
| WO2019142477A1 (ja) * | 2018-01-18 | 2019-07-25 | フェリカネットワークス株式会社 | 情報処理装置、情報処理方法、ユーザ端末、サービス提供装置およびサービス提供方法 |
| CN111566629A (zh) * | 2018-01-18 | 2020-08-21 | 飞力凯网路股份有限公司 | 信息处理装置、信息处理方法、用户终端、服务提供装置和服务提供方法 |
| JPWO2019142477A1 (ja) * | 2018-01-18 | 2021-01-28 | フェリカネットワークス株式会社 | 情報処理装置、情報処理方法、ユーザ端末、サービス提供装置およびサービス提供方法 |
| JP7278968B2 (ja) | 2018-01-18 | 2023-05-22 | フェリカネットワークス株式会社 | 情報処理装置、情報処理方法、ユーザ端末、サービス提供装置およびサービス提供方法 |
| JP7351982B1 (ja) | 2022-07-26 | 2023-09-27 | 株式会社ジャックス | 情報処理装置及びコンピュータプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9530129B2 (en) | Secure authentication and payment system | |
| US20030055792A1 (en) | Electronic payment method, system, and devices | |
| US20110173122A1 (en) | Systems and methods of bank security in online commerce | |
| US20070094113A1 (en) | Transactional mobile system | |
| JP2011518377A (ja) | 携帯電話支払取引システムでの支払口座データのゴースト化 | |
| JP2006501584A (ja) | 取引承認トークンを用いる電子決済確認 | |
| CA2505920A1 (en) | System and method for secure credit and debit card transactions | |
| GB2387253A (en) | Secure credit and debit card transactions | |
| WO2001069549A1 (en) | Payment authorisation method and apparatus | |
| WO2008050132A2 (en) | Secure authentication and payment system | |
| JP6483754B2 (ja) | 取引管理システム、取引管理方法、及びそのプログラム | |
| US20040039691A1 (en) | Electronic funds transaction system | |
| US20210406909A1 (en) | Authorizing transactions using negative pin messages | |
| JP2007094874A (ja) | 金融サービス提供システム | |
| KR100372683B1 (ko) | 개인 휴대단말기를 이용한 사용자 인증 처리 시스템 및 그방법 | |
| KR100598573B1 (ko) | 스마트카드를 이용한 일회용 카드정보 생성 및 인증방법그리고 이를 위한 시스템 | |
| JP2006085446A (ja) | カード不正使用防止システム | |
| JP4071445B2 (ja) | 取引仲介システム、取引仲介装置およびプログラム | |
| JP2001337925A (ja) | ユーザ認証装置及びこれを用いた商取引システム | |
| US20130144756A1 (en) | Transaction system | |
| JP2005115597A (ja) | カード管理システムおよびカード情報の管理方法 | |
| JP2007034626A (ja) | Atm利用限度額設定方法、atm利用限度額設定装置およびatm利用限度額設定用プログラム | |
| JP2006285824A (ja) | 電子商取引システム | |
| JP2003337917A (ja) | 携帯端末による本人確認システム | |
| KR20160076580A (ko) | 인터넷 웹서비스를 통한 대출신청기반 모바일연동형 즉시대출서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090722 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090818 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091215 |