以下、本発明の実施形態について、図面を参照して説明する。
実施形態1において、医事システム2が、請求項3に記載の「他の外部装置」に対応する。また、カード情報処理システム3が、請求項1および7に記載の「外部装置」に対応する。
実施形態2において、医事システム2が、請求項12に記載の「外部装置」に対応する。
実施形態1、2において、診察券100が、請求項1、7および10に記載の「第1種別の情報保持体」に対応し、クレジットカード200が、請求項1、7および10に記載の「第2種別の情報保持体」に対応する。また、磁気リーダ404が、請求項1、7および10に記載の「読取部」に対応する。さらに、暗号化処理部408が、請求項1、7および10に記載の「暗号化部」に対応する。
ただし、上記記載は、あくまで、特許請求の範囲の構成と実施形態1の構成とを対応付けることを目的とするものであって、上記対応付けによって特許請求の範囲に記載の発明が実施形態の構成に何ら限定されるものではない。
<実施形態1>
図1は、実施形態1に係る、自動取引装置1を含む自動取引システム4の構成を示す図である。
自動取引装置1は、医療機関に設置される。自動取引装置1は、中継器および内部通信網(LAN)を介して、医療機関内に設置された医事システム2に接続される。また、自動取引装置1は、中継器および外部通信網を介して、クレジットカードに関する支払いを管理するカード情報処理センターに設置されたカード情報処理システム3に接続される。外部通信網による接続は、たとえば、専用線によるインライン接続である。あるいは、外部通信網による接続が、インターネット接続であってもよい。これら自動取引装置1、医事システム2およびカード情報処理システム3により、自動取引システム4が構成される。
自動取引装置1は、診療費の精算の際に、後述の診察券100を受け付けて、患者のID情報を含む診察券情報を医事システム2に送信する。これにより、医事システム2から、当該ID情報に対応付けられている診療費情報が、自動取引装置1に送信されて、自動取引装置1における精算処理が行われる。
また、自動取引装置1は、当該精算処理の際に、後述のクレジットカード200を受け付けて、クレジットカード番号を含む支払い情報をカード情報処理システム3に送信する。支払い情報は、暗号化されてカード情報処理システム3に送信される。支払い情報は、クレジットカード番号の他に、セキュリティコード、カード所持者のアルファベットの名称およびクレジットカードの有効期限が含まれていてもよい。支払い情報の送信により、クレジットカードを用いて、診療費等の支払い処理が行われる。この他、自動取引装置1は、支払い処理の際に、現金での支払いを受け付けて、紙幣および硬貨の処理を行う。
医事システム2は、自動取引装置1へ診療費情報を送付する処理など、所定の処理を行うため、コンピュータ等からなる制御部2aを含む。同様に、カード情報処理システム3は、暗号化された支払情報を復号する処理など、所定の処理を行うため、コンピュータ等からなる制御部3aを含む。なお、カード情報処理システム3は、平文のクレジットカード情報を取り扱うことを許可されたシステムであり、一般的なシステムに比べてセキュリティー性が高い。
図2(a)は、実施形態1に係る、自動取引装置1の外観を示す斜視図である。
自動取引装置1は、大人の背丈程度の高さの直方体形状を有する。自動取引装置1は、操作表示部11と、テンキー12と、バーコードリーダ13と、第1印刷部14と、第2印刷部15と、カード挿入口16と、紙幣入金部17と、紙幣出金部18と、硬貨入出金部19と、異物返却部20とを備える。
操作表示部11は、所定の情報を表示するとともに、利用者からの操作を受け付ける。操作表示部11は、たとえば、液晶表示器を備えたタッチパネルにより構成される。テンキー12は、暗証番号の入力等に用いられる。たとえば、クレジットカード200による支払いの際に、利用者は、テンキー12を用いてクレジットカードの暗証番号を入力する。
バーコードリーダ13は、医療費を精算するための用紙に印字されたバーコードを読み取る。たとえば、診察を受け付けるための受付機で発行された整理券に、精算のためのバーコードが印字される。利用者は、このバーコードを用いて、医療費の精算を行える。第1印刷部14は、クレジットカード200等による決済が行われた場合に、利用者控えを送出する。第2印刷部15は、診療費の支払いが行われた場合に領収書を送出し、また、操作表示部11に対して診療明細書の発行操作がなされた場合に、診療明細書を送出する。
カード挿入口16は、診察券100およびクレジットカード200の挿入口である。実施形態1では、診察券100およびクレジットカード200の両方に対して共通のカード挿入口16が設けられている。
紙幣入金部17は、現金による診療費の支払いの際に、紙幣の投入を受け付ける。紙幣出金部18は、現金による診療費の支払いの際に、返金すべき紙幣を搬出する。硬貨入出金部19は、現金による診療費の支払いの際に、硬貨の投入を受け付け、また、返却すべき硬貨を搬出する。異物返却部20は、硬貨入出金部19に硬貨以外の異物が投入された場合に、当該異物を搬出する。
利用者は、操作表示部11に表示された画面に従って、診療費の支払い等の操作を操作表示部11に対して行う。診療費の支払いは、カード挿入口16に診察券100を挿入するか、精算のための用紙に印字されたバーコードをバーコードリーダ13に読み取らせることによって行われる。
カード挿入口16に診察券100が挿入されると、診察券100から読み取られた診察券情報に含まれるID情報が医事システム2に送信され、当該診察券情報に紐付けられている診療費情報が、医事システム2から自動取引装置1に送信される。あるいは、精算のための用紙に印字されたバーコードがバーコードリーダ13に向けられると、バーコードリーダ13によって読み取られたバーコード情報が医事システム2に送信され、当該バーコード情報に紐付けられている診療費情報が、医事システム2から自動取引装置1に送信される。
自動取引装置1は、受信した診療費情報に応じた金額を精算するための画面を操作表示部11に表示させ、現金またはクレジットカード200による支払いの選択を利用者に促す。さらに、デビットカードによる支払いの選択が可能であってもよい。自動取引装置1は、操作表示部11に対する操作に応じて、クレジットカード200を用いた支払い処理、および、現金による支払い処理を実行する。クレジットカード200を用いた支払いが選択された場合、自動取引装置1は、カード挿入口16を介してクレジットカード200の挿入を受け付ける。支払い処理の開始時に、カード挿入口16を介して診察券100が搬入されている場合、自動取引装置1は、診察券100を排出した後、クレジットカード200の挿入を受け付ける。これにより、クレジットカード200による精算が行われる。
図2(b)は、実施形態1に係る、診察券100の外観を示す正面図である。図2(c)は、実施形態1に係る、クレジットカード200の外観を示す正面図である。
図2(b)を参照して、診察券100は、平面視において、長方形の角が丸められた形状を有する。診察券100は、樹脂等のある程度可撓性がある材料によって形成されている。診察券100には、上述の診察券情報を保持する磁気ストライプ101が設けられている。診察券情報は、所定のフォーマットで磁気ストライプ101に保持される。たとえば、診察券情報は、所定の信号フォーマットで構成されたヘッダー領域(ヘッダー情報の保持領域)と、ヘッダー領域に続くデータ領域(診察券情報の保持領域)とを有するフォーマットで磁気ストライプ101に保持される。磁気ストライプ101を磁気ヘッドで操作することにより、診察券情報が読み取られる。
この他、診察券100には、診察券であることの標記102と、ID情報103が配置されている。ID情報103は、診察券情報として診察券100に保持された患者のID情報と同一であってもよく、あるいは、診察券100ごとに設定された固有のID情報であってもよい。あるいは、診察券100ごとに固有に設定された当該診察券100のID情報が、患者のID情報として診察券情報に含まれてもよい。この他、診察券100に保持される診察券情報には、患者の生年月日等が含まれ得る。便宜上、図2(b)では、医療機関の名称や住所等のその他の情報の図示が省略されている。
図2(c)を参照して、クレジットカード200は、平面視において、長方形の角が丸められた形状を有する。クレジットカード200は、樹脂等のある程度可撓性がある材料によって形成されている。クレジットカード200の形状は、診察券100と略同じである。
クレジットカード200の表面には、ICチップ201が配置されている。ICチップ201は、接触または非接触で通信可能な集積回路である。ICチップ201には、クレジットカード200のカード番号や、会員情報(ID情報、アルファベットの名称、有効期限、等)、暗号化鍵およびクレジット処理を行うためのアプリケーション等のクレジットカード情報が、保持されている。
クレジットカード200の裏面および表面の少なくとも一方には、磁気ストライプ202が配置されている。磁気ストライプ202には、ICチップ201に保持された情報の一部と同様のクレジットカード情報(カード番号等)が保持されている。クレジットカード情報は、所定のフォーマットで磁気ストライプ202に保持される。磁気ストライプ202を磁気リーダ(磁気ヘッド)で操作することにより、クレジットカード情報が読み取られる。ICチップ201に保持されるクレジットカード情報のデータサイズは、磁気ストライプ202に保持されるクレジットカード情報のデータサイズよりも大きい。
さらに、クレジットカード200には、カード番号203が刻印されている。便宜上、図2(c)では、クレジット会社の名称や、セキュリティコード、有効期限およびカード所有者のアルファベット標記等の他の情報の図示が省略されている。
なお、クレジットカード200に保持された支払情報(カード番号等)を含むクレジットカード情報は、その情報が流出すると利用者の財産が不正に取得される虞があるため、診察券100に保持された診察券情報よりも機密性が高い。そして、クレジットカード200から読み取られた情報は、暗号化されることがPCIDSS(Payment Card Industry Data Security Standard)等の規格(所定の定め)により義務付けられている。診察券100から読み取られた情報については、暗号化が義務付けられてはいない。
図3は、実施形態1に係る、自動取引装置1の構成を示すブロック図である。
自動取引装置1は、図2(a)に示した操作表示部11、テンキー12、バーコードリーダ13、第1印刷部14および第2印刷部15の他に、制御部301と、紙幣処理部302と、硬貨処理部303と、カード処理部304と、音声出力部305と、通信部306とを備える。
制御部301は、CPU(Central Processing Unit)等の演算処理回路と、ROM(Read Only Memory)、RAM(Random Access Memory)等のメモリとを備え、メモリに記憶されたプログラムに従って各部を制御する。紙幣処理部302は、各金種の紙幣を収容するための紙幣収容部および紙幣を搬送する搬送部を備え、制御部301からの制御により、紙幣収容部と紙幣入金部17および紙幣出金部18との間で紙幣を搬送する。硬貨処理部303は、各金種の硬貨を収容するための硬貨収容部および硬貨を搬送する搬送部を備え、制御部301からの制御により、硬貨収容部と硬貨入出金部19との間で硬貨を搬送する。
カード処理部304は、図2(a)のカード挿入口16から挿入されたカード(診察券100、クレジットカード200)を処理する。カード処理部304の構成については、追って図4を参照して説明する。
音声出力部305は、スピーカ等の音声出力手段を備え、制御部301からの制御に応じて、所定の音声を出力する。通信部306は、上述の医事システム2およびカード情報処理システム3と通信を行うための通信インタフェースである。
図4は、実施形態1に係る、カード処理部304の構成を示す図である。
カード処理部304は、搬送部401と、センサ402a〜402cと、通信部403と、磁気リーダ404と、通信信号処理部405と、磁気信号処理部406と、カード制御部407と、暗号化処理部408と、通信部409とを備える。
搬送部401は、搬送ベルトと、搬送ベルトを駆動するモータとを備え、カード挿入口16から挿入されたカード(診察券100、クレジットカード200)を搬送路401aに沿って搬送する。搬送路401aは、直線状に形成される。カードを搬送可能な限りにおいて、搬送路401aが折れ曲がっていてもよい。搬送路401aの入口がカード挿入口16に対向するように、搬送部401が構成される。
センサ402a〜402cは、それぞれ、カードの到達を検出する。センサ402a〜402cは、たとえば、反射型の光センサである。センサ402a〜402cが透過型の光センサであってもよく、カードの到達を検出可能な限りにおいて、他の方式のセンサであってもよい。搬送部401に配置されるセンサの数は3つに限られない。
センサ402aは、カード挿入口16にカードが挿入されたことを検出する。センサ402bは、搬送部401によりクレジットカード200が搬入された場合に、クレジットカード200のICチップ201が通信部403に対向する位置に到達したことを検出する。センサ402cは、搬送部401により診察券100またはクレジットカード200が搬入された場合に、診察券100の磁気ストライプ101またはクレジットカード200の磁気ストライプ202が磁気リーダ404に対向する位置に到達したことを検出する。
通信部403は、クレジットカード200のICチップ201と近距離通信を行うための構成を備える。たとえば、通信部403がICチップ201と非接触で近距離無線通信を行う構成である場合、通信部403は、ICチップ201側のコイルに対し、電力供給および通信を行うためのコイルを備える。あるいは、通信部403がICチップ201と接触して通信を行う場合、通信部403は、ICチップ201と接触して通信するための構成、たとえば、ICチップ201と接触してデータを読み取る接点を備える。
磁気リーダ404は、診察券100の磁気ストライプ101またはクレジットカード200の磁気ストライプ202に保持された情報を読み取るための構成を備える。たとえば、磁気リーダ404は、磁気ヘッドを備える。磁気リーダ404が、書き込み機能を備えていてもよい。
通信信号処理部405は、カード制御部407からの制御により、通信部403に送信信号を供給し、また、通信部403により受信された受信信号を処理してカード制御部407に供給する。磁気信号処理部406は、磁気リーダ404によって読み取られた信号を処理して、カード制御部407に供給する。
カード制御部407は、CPU等の演算処理回路と、ROM、RAM等のメモリとを備え、メモリに記憶されたプログラムに従って、カード処理部304の各部の制御を行う。暗号化処理部408は、診察券100から読み取られた情報およびクレジットカード200から読み取られた情報を暗号化する。通信部409は、カード制御部407からの制御により、各種情報を図3の制御部301に送信する。
本実施形態1の自動取引システム4では、利用者が自動取引装置1を用いた診療費の精算を行うため処理が実行される。
最初に、自動取引装置1が、利用者が支払うべき診療費の額を医事システム2から取得して利用者に提示する診療費情報取得処理が行われる。
診療費情報取得処理では、利用者により、カード挿入口16に診察券100が挿入され、その診察券100から読み取られた診察券情報が、カード処理部304から制御部301に送信される。制御部301は、診察券情報に含まれるID情報を用いて医事システム2から診療費情報を取得し、診療費の表示および支払い方法の選択を促す画面を操作表示部11に表示させる。この診療費情報取得処理については、追って詳細に説明する。
利用者が、支払い方法としてクレジットカード200による支払いを選択すると、カード支払い処理が行われる。
カード支払い処理では、制御部301は、カード処理部304のカード制御部407に、クレジットカード200の受け付け指示を送信する。カード制御部407は、カード挿入口16にクレジットカード200が挿入されるのを待つ。
利用者がカード挿入口16にクレジットカード200を挿入すると、カード制御部407は、通信部403を介して、クレジットカード200のICチップ201からクレジットカード情報を取得するとともに、磁気リーダ404を介して、クレジットカード200の磁気ストライプ202からクレジットカード情報を取得する。そして、カード制御部407は、ICチップ201からクレジットカード情報を取得できたときは、そのクレジットカード情報に含まれる支払い情報を、暗号化処理部408により暗号化し、通信部409を介して、制御部301に送信する。一方、カード制御部407は、ICチップ201からクレジットカード情報を取得でなかったときは、磁気ストライプ202からのクレジットカード情報(支払情報を含む)を、暗号化処理部408により暗号化して制御部301に送信する。制御部301は、審査依頼とともに受信した暗号化後の支払い情報またはクレジットカード情報を、暗号化済情報として、通信部306を介して、カード情報処理システム3へ送信する。
カード情報処理システム3は、PCIDSS(Payment Card IndustryData Security Standard)等の規格に基づく認定の取得により、暗号化された情報の復号を行う権限を有する。一方で、自動取引装置1は、上記認定の取得がなされておらず、暗号化された情報の復号を行えない。但し、仮に自動取引装置1が上記認定を取得している場合は、暗号化された情報の復号を行うことも可能である。
カード情報処理システム3の制御部3aは、カード支払い処理において、暗号化済情報を受信すると、当該暗号化済情報を復号し、復号された支払い情報またはクレジットカード情報を審査依頼とともにクレジット会社に専用回線を通じて送信する。なお、制御部3aは、復号後の平文の支払い情報またはクレジットカード情報を自動取引装置1へは送信しない。
その後、制御部301は、クレジット会社からの審査結果を、カード情報処理システム3を介して取得する。
決済可である審査結果が得られると、その後は、カード処理部304またはクレジット会社により決済が行われる。即ち、ICチップ201からの支払い情報が用いられた場合は、クレジットカード情報に含まれるアプリケーションに従ってカード制御部407が決済を行い、磁気ストライプ202からのクレジットカード情報が用いられた場合は、クレジット会社が決済を行う。
なお、ICチップ201からクレジットカード情報を取得できた場合、金額などの決済条件によっては、自動取引装置1からカード情報処理システム3へ審査依頼が行われることなく、カード制御部407が決済を行うことがある。この場合、カード制御部407からは、暗号化後の支払い情報が制御部301へ送信されず、決済完了の通知が制御部301へ送信される。
こうして、決済が完了すると、クレジットカード200による診療費の支払いが完了する。これに基づき、制御部301は、支払いの完了を報知する画面を操作表示部11に表示させる。このとき、同時に、カード制御部407は、受け入れたクレジットカード200をカード挿入口16から排出させる。これにより、カード支払い処理が終了する。利用者は、操作表示部11に表示された画面を参照して支払いの完了を確認し、カード挿入口16からクレジットカード200を抜き取る。
ところで、診療費情報取得処理における、カード挿入口16に診察券100が挿入される場面において、誤って、利用者によりカード挿入口16にクレジットカード200が挿入されることが起こり得る。この場合、挿入されたクレジットカード200の磁気ストライプ202からクレジットカード情報が読み取られ、このクレジットカード情報が暗号化されない状態、即ち平文の状態で自動取引装置1に保持される状況が生じる。クレジットカード情報は、支払いに関連する情報を含むため、機密性が極めて高く確保される必要がある。このため、このように誤って取得されたクレジットカード情報が平文の状態で自動取引装置1に保持される状態は、なるべく避けることが好ましい。
そこで、本実施形態1では、診療費情報取得処理において、クレジットカード情報の機密性を確保することができる制御が実行される。
図5は、実施形態1に係る、診療費情報取得処理において、自動取引装置1の制御部301により実行される制御を示すフローチャートである。図6(a)は、実施形態1に係る、診療費情報取得処理において、カード処理部304のカード制御部407により実行される制御を示すフローチャートである。図6(b)は、実施形態1に係る、診療費情報取得処理において、カード情報処理システム3の制御部3aにより実行される制御を示すフローチャートである。
図5を参照し、画面上での利用者による精算開始の操作を操作表示部11が受け付けると(S101:YES)、制御部301は、カード処理部304のカード制御部407に、診察券100の受け付け指示を送信する(S102)。
図6(a)を参照し、カード制御部407は、診察券100の受け付け指示を受信すると(S201:YES)、カード挿入口16にカードが挿入されるのを待つ(S202)。
利用者によりカード挿入口16にカードが挿入されると(S202:YES)、カード制御部407は、挿入されたカードの磁気ストライプから磁気リーダ404を介して情報を読み取る(S203)。そして、カード制御部407は、読み取った情報を暗号化処理部408により暗号化し(S204)、暗号化後の情報を、暗号化済情報として、通信部409を介して、制御部301へ送信する(S205)。なお、カードは、情報の読取が完了すると、カード挿入口16から排出される。カードは、診療費の支払い処理、即ち取引が完了した後に排出されてもよく、カードの排出のタイミングは、情報の読取後であれば任意に設定されてよい。
ユーザにより、カード挿入口16に診察券100が挿入された場合は、診察券100の磁気ストライプ101から診察券情報が読み出され、暗号化される。よって、暗号化済情報は、診察券情報が暗号化されたものとなる。一方、ユーザにより、誤ってカード挿入口16にクレジットカード200が挿入された場合は、クレジットカード200の磁気ストライプ202からクレジットカード情報が読み出され、暗号化される。よって、暗号化済情報は、クレジットカード情報が暗号化されたものとなる。
図5に戻り、制御部301は、カード処理部304から暗号化済情報を受信すると(S103:YES)、受信した暗号化済情報を、通信部306を介してカード情報処理システム3へ送信する(S104)。
図6(b)を参照し、カード情報処理システム3では、自動取引装置1から暗号化済情報を受信すると(S301:YES)、制御部3aは、受信した暗号化済情報を復号する(S302)。
暗号化済情報が診察券情報を暗号化したものであれば、平文の診察券情報に復号される。制御部3aは、復号された情報が診察券情報である場合(S303:YES)、復号後の平文の診察券情報を自動取引装置1へ送信する(S304)。
一方、暗号化済情報がクレジットカード情報を暗号化したものであれば、平文のクレジットカード情報に復号される。制御部3aは、復号された情報がクレジットカード情報である場合(S303:NO)、エラー通知を自動取引装置1へ送信するとともに(S305)、復号されたクレジットカード情報を、自動取引装置1へ返信することなく、消去する(S306)。
再び図5に戻り、制御部301は、カード情報処理システム3から平文の診察券情報を受信すると(S105:YES)、受信した診察券情報からID情報を抽出し、抽出したID情報を、通信部306を介して医事システム2へ送信する(S106)。これにより、送信されたID情報に関連付けられた診療費情報が医事システム2から自動取引装置1へ送信される。制御部301は、診療費情報を受信すると(S107:YES)、操作表示部11に、診療費を表示して支払い方法の選択を促す画面を表示させる(S108)。
一方、制御部301は、カード情報処理システム3から平文の診察券情報ではなくエラー通知を受信すると(S105:NO→S109:YES)、カードの挿入誤りがあった旨を通知する処理を行う(S110)。たとえば、制御部301は、カードの挿入誤りがあった旨を報知する画面を操作表示部11に表示させる。あるいは、制御部301は、カードの挿入誤りがあった旨の音声を音声出力部305に出力させる。そして、制御部301は、再び、カード制御部407に診察券100の受け付け指示を送信する(S102)。ユーザは、操作表示部11での画面表示を確認することにより、正しいカード、即ち診察券100をカード挿入口16に挿入する。
このようにして、本実施形態1では、診療費情報取得処理の対象である診察券100がカード挿入口16に挿入された場合は、診察券100から読み出された診察券情報が、暗号化された後に制御部301へ送信され、さらに制御部301からカード情報処理システム3へ送信される。そして、カード情報処理システム3で復号された平文の診察券情報が制御部301に返信される。その後、診察券情報、即ち、その情報から抽出されたID情報に基づいて、医事システム2から診療費情報が制御部301へ送信され、操作表示部11での画面表示により診療費が利用者に提示される。
一方、診療費情報取得処理の対象でないクレジットカード200が誤ってカード挿入口16に挿入された場合は、クレジットカード200から読み出されたクレジットカード情報が、暗号化された後に制御部301へ送信され、さらに制御部301からカード情報処理システム3へ送信される。カード情報処理システム3からは、復号された平文のクレジットカード情報は返信されず、エラー通知が制御部301へ送信される。これに基づき、操作表示部11での画面表示等によりカードの挿入誤りが利用者に通知される。
なお、本実施形態1において、カード情報処理システム3の制御部3aは、平文の診察券情報に復号されなかった場合、S305のエラー通知に替えて、復号された情報が診察券情報でない(クレジットカード情報である)旨の通知を送信してもよい。この場合、自動取引装置1の制御部301は、診察券情報でない旨の通知を受信すると、S110のカードの挿入誤りの通知を行う。
また、カード情報処理システム3の制御部3aは、S306のクレジットカード情報の消去を行わないようにしてもよい。
このように、平文の診察券情報に復号されなかった場合に、制御部3aによって、エラー通知とクレジットカード情報の消去とを行うこと以外のエラー処理が行われてもよい。
さらに、復号された情報が診察券情報でない場合に、カード情報処理システム3の制御部3aからは自動取引装置1の制御部301に対して応答を行わず、制御部301は、所定時間内に平文の診察券情報を受信しない場合に、S110のカードの挿入誤りの通知を行うようにしてもよい。
<実施形態1の効果>
本実施形態1によれば、以下の効果が奏され得る。
クレジットカード200から読み取られた機密性の高いクレジットカード情報のみならず、診察券100から読み取られた機密性の低い診察券情報も暗号化処理部408で暗号化され、暗号化済情報として制御部301に取得される。そして、制御部301は、診察券情報(ID情報)を用いた診療費情報取得処理のために暗号化済情報を取得したとき、暗号化済情報を、平文の診察券情報に復号して返信してもらうために、復号を行う(復号の権限を有する)カード情報処理システム3に、通信部306を介して送信する。これにより、診療費情報取得処理において、カード処理部304に診察券100が適用されるべきところ誤ってクレジットカード200が適用された場合にも、クレジットカード200から読み出されたクレジットカード情報が平文のまま自動取引装置1に保持された状態となることを回避できる。よって、クレジットカード200に保持された機密性の高いクレジットカード情報の安全性が確保されやすくなる。
しかも、診察券情報であると考えられる暗号化済情報は、復号が許可された安全性の高いカード情報処理システム3で復号されるので、復号されたときのその情報がクレジットカード情報であっても、そのクレジットカード情報の安全性を確保できる。
また、制御部301は、カード情報処理システム3から通信部306を介して受信した平文の診察券情報に含まれるID情報を、当該ID情報に関連付けられた診療費情報を有する医事システム2に対して送信する。これにより、復号された平文の診察券情報、即ちID情報を利用して医事システム2から診療費情報を取得できる。
さらに、制御部301は、カード情報処理システム3で暗号化済情報が平文のクレジットカード情報に復号されたとき、エラー通知をカード情報処理システム3から通信部306を介して受信する。これにより、誤ってクレジットカード200からクレジットカード情報が読み取られたことを制御部301が把握できる。
さらに、制御部301は、カード情報処理システム3での復号により暗号化済情報から平文の診察券情報を得ることができず、代わりにエラー通知を受けたとき、操作表示部11での画面表示等によってカードが間違っていることを報知する。これにより、利用者は、カードの間違いに気付くことができる。
さらに、制御部301は、カード支払い処理を行うために暗号化済情報を取得したとき、暗号化済情報を、通信部306を介してカード情報処理システム3へ送信し、カード情報処理システム3は、受信した暗号化済情報を平文のクレジットカード情報に復号するが、自動取引装置1へ平文のクレジットカード情報を送信しない。これにより、自動取引装置1が平文のクレジットカード情報を保持した状態になってしまうことを回避できる。
<実施形態2>
実施形態2の自動取引システム4では、自動取引装置1のカード処理部304の暗号化処理部408がクレジットカード情報の暗号化は行うが、診察券情報の暗号化は行わない。自動取引システム4のその他の構成は、上記第1実施形態と同様である。
実施形態2の自動取引システム4では、クレジットカード情報の機密性を確保できる診療費情報取得処理での制御が、上記実施形態1で行われた診療費情報取得処理の制御と異なる。
図7は、実施形態2に係る、診療費情報取得処理において、自動取引装置1の制御部301により実行される制御を示すフローチャートである。図8は、実施形態2に係る、診療費情報取得処理において、カード処理部304のカード制御部407により実行される制御を示すフローチャートである。図9は、実施形態2に係る、診療費情報取得処理において、医事システム2の制御部2aにより実行される制御を示すフローチャートである。
図7を参照し、画面上での利用者による精算開始の操作を操作表示部11が受け付けると(S401:YES)、制御部301は、カード処理部304のカード制御部407に、診察券100の受け付け指示を送信する(S402)。
図8を参照し、カード制御部407は、診察券100の受け付け指示を受信した後に(S501:YES)、カード挿入口16にカードが挿入されると(S502:YES)、挿入されたカードの磁気ストライプから磁気リーダ404を介して情報を読み取る(S503)。次に、カード制御部407は、読み取られた情報がクレジットカード情報であるか否かを判定する(S504)。たとえば、カード制御部407は、読み取られた情報の中に、クレジットカード200のブランドごとに定められた番号など、クレジットカード情報には含まれているが診察券情報に含まれていない情報があるか否かにより、クレジットカード情報であるか否かを判定できる。
読み取られた情報がクレジットカード情報でない、即ち診察券情報である場合(S504:NO)、カード制御部407は、平文の診察券情報を制御部301へ送信する(S505)。
一方、読み取られた情報がクレジットカード情報である場合(S504:YES)、カード制御部407は、クレジットカード情報を暗号化処理部408により暗号化し(S506)、暗号化後のクレジットカード情報を、暗号化済情報として、制御部301へ送信する(S507)。
図7に戻り、制御部301は、カード処理部304から診察券情報およびクレジットカード情報である暗号化済情報のうち何れか情報を受信すると(S403:YES)、受信した情報からID情報に相当する情報(以下、ID相当情報という)を抽出し、抽出したID相当情報を、通信部306を介して医事システム2へ送信する(S404)。即ち、受信した情報が診察券情報である場合には、診察券情報を構成するデータ列の中のID情報のデータが記録された領域からID情報が、ID相当情報として抽出されて送信される。一方、受信した情報が暗号化済情報である場合には、暗号化済情報を構成するデータ列における、診察券情報を構成するデータ列の中のID情報のデータが記録された領域と同じ領域からID情報ではない情報が、ID相当情報として抽出されて送信される。
図9を参照し、医事システム2では、自動取引装置1からID相当情報を受信すると(S601:YES)、制御部2aは、受信したID相当情報がID情報であるか否かを判定する(S602)。制御部2aは、ID相当情報がID情報である場合(S602:YES)、そのID情報に対応付けられた診療費情報を、図示しないデータベースから読み出して、自動取引装置1へ送信する(S603)。
一方、制御部2aは、ID相当情報がID情報でない場合(S602:NO)、エラー通知を自動取引装置1へ送信する(S604)。
再び図7に戻り、制御部301は、医事システム2から診療費情報を受信すると(S405:YES)、操作表示部11に、診療費を表示して支払い方法の選択を促す画面を表示させる(S406)。
一方、制御部301は、医事システム2から診療費情報ではなくエラー通知を受信すると(S405:NO→S407:YES)、カードの挿入誤りがあった旨を通知する処理を行う(S408)。そして、制御部301は、再び、カード制御部407に診察券100の受け付け指示を送信する(S402)。
このようにして、本実施形態2では、診療費情報取得処理の対象である診察券100がカード挿入口16に挿入された場合は、診察券100から読み出された診察券情報が、平文で制御部301に送信される。そして、診察券情報、即ち、その情報から抽出されたID情報に基づいて、医事システム2から診療費情報が送信され、操作表示部11での画面表示により診療費が利用者に提示される。
一方、診療費情報取得処理の対象でないクレジットカード200が誤ってカード挿入口16に挿入された場合は、クレジットカード200から読み出されたクレジットカード情報が、暗号化されて暗号化済情報として制御部301に送信される。そして、暗号化済情報、即ち、その情報から抽出されたID情報でない情報に基づいて、医事システム2から診療費情報でなくエラー通知が送信され、操作表示部11での画面表示等によりカードの挿入誤りが利用者に通知される。
なお、本実施形態2において、制御部301は、S408でカードの挿入誤りがあった旨を通知する処理を行った後、先にカード処理部304から取得していた暗号化済情報を消去してもよい。
また、自動取引装置1の制御部301が、カード処理部304から受信した情報(平文の診察券情報、暗号化されたクレジットカード情報)を、そのまま医事システム2に送信し、医事システム2の制御部2aが、受信した情報からID相当情報を抽出するようにしてもよい。
また、医事システム2の制御部2aは、ID情報が受信されなかった場合、S604のエラー通知に替えて、自動取引装置1からの送信情報がID情報でない旨の通知を送信してもよい。この場合、自動取引装置1の制御部301は、ID情報でない旨の通知を受信すると、S408のカードの挿入誤りの通知を行う。
また、自動取引装置1からの送信情報がID情報でない場合に、医事システム2の制御部2aからは自動取引装置1の制御部301に対して応答を行わず、制御部301は、所定時間内に診療費情報を受信しない場合に、S408のカードの挿入誤りの通知を行うようにしてもよい。
<実施形態2の効果>
本実施形態2によれば、以下の効果が奏され得る。
診察券情報を用いた診療費情報取得処理が制御部301により行われる場合に、磁気リーダ404によりクレジットカード情報が読み取られると、読み取られたクレジットカード情報が暗号化処理部408により暗号化されて制御部301に取得される。これにより、診療費情報取得処理において、カード処理部304に診察券100が適用されるべきところ誤ってクレジットカード200が適用された場合にも、クレジットカード200から読み出されたクレジットカード情報が平文のまま自動取引装置1に保持された状態となることを回避できる。よって、クレジットカード200に保持された機密性の高いクレジットカード情報の安全性が確保されやすくなる。
また、制御部301は、暗号化されたクレジットカード情報、即ち、この情報から抽出された情報(クレジットカード情報の一部の情報)を、診察券情報、即ち、この情報から抽出されたID情報(診察券情報の一部の情報)が送信されるべき医事システム2へ通信部306を介して送信する。これにより、医事システム2から、ID情報でないことに基づくエラー通知を返すことができ、誤ってクレジットカード200からクレジットカード情報が読み取られたことを制御部301が把握できる。
以上、本発明の実施形態(実施形態1、実施形態2)について説明したが、本発明は、上記実施形態によって何ら制限されるものではなく、また、本発明の実施形態も、上記以外に種々の変更が可能である。
<変更例1>
上記実施形態1では、診療費情報取得処理において、暗号化済情報が、診察券情報を暗号化したものかクレジットカード情報を暗号化したものかにかかわらず、自動取引装置1からカード情報処理システム3へ送信された。これに対し、変更例1では、自動取引装置1の制御部301において、暗号化済情報が診察券情報を暗号化したものか否かの判定が行われ、診察券情報が暗号化された暗号化済情報がカード情報処理システム3へ送信される。
図10は、変更例1に係る、診療費情報取得処理において、自動取引装置1の制御部301により実行される制御を示すフローチャートである。図11(a)は、変更例1に係る、診療費情報取得処理において、カード処理部304のカード制御部407により実行される制御を示すフローチャートである。図11(b)は、変更例1に係る、診療費情報取得処理において、カード情報処理システム3の制御部3aにより実行される制御を示すフローチャートである。
図10、図11(a)および(b)のフローチャートにおいて、図5、図6(a)および(b)のフローチャートと同じ処理には、同じステップ番号が付されている。
図11(a)に示すように、カード処理部304において、カード制御部407は、読み取った情報の暗号化を行うと(S204)、暗号化された情報がクレジットカード情報であるか否かを判定する(S206)。この判定は、たとえば、暗号化される前の情報の中に、クレジットカード200のブランドごとに定められた番号など、クレジットカード情報には含まれているが診察券情報に含まれていない情報があるか否かにより行うことができる。暗号化された情報がクレジットカード情報である場合(S206:YES)、カード制御部407は、暗号化済情報にエラー情報を付加して制御部301へ送信する(S207)。
図10に示すように、制御部301は、カード処理部304から暗号化済情報を受信すると(S103:YES)、暗号化済情報にエラー情報が付加されているか否かを判定することにより、暗号化済情報が診察券情報を暗号化したものであるか否かを判定する(S111)。そして、エラー情報が付加されていない、即ち暗号化済情報が診察券情報を暗号化したものである場合(S111:NO)、制御部301は、暗号化済情報をカード情報処理システム3へ送信する(S104)。
一方、エラー情報が付加されている、即ち暗号化済情報が診察券情報を暗号化したものでない場合(S111:YES)、制御部301は、暗号化済情報をカード情報処理システム3へ送信せず、カードの挿入誤りがあった旨を通知する処理を行う(S112)。そして、制御部301は、再び、カード制御部407に診察券100の受け付け指示を送信する(S102)。
クレジットカード情報が暗号化された暗号化済情報は、カード情報処理システム3へ送信されないため、図11(b)に示すように、カード情報処理システム3において、制御部3aは、上記実施形態1で行っていた復号後の情報が診察券情報であるか否かの判定(S303)と、当該判定に基づくエラー通知の送信(S305)およびクレジットカード情報の消去(S306)の一連の処理を行わない。また、カード情報処理システム3からのエラー通知がないため、図10に示すように、自動取引装置1において、制御部301は、エラー通知の受信に基づいてカードの挿入誤りを通知する処理(S109、S110)を行わない。
なお、自動取引装置1において、制御部301は、暗号化済情報を復号できないため、暗号化済情報が診察券情報であることを実際に確認することができない。よって、念のため、判定誤りによりクレジットカード情報が暗号化された暗号化済情報が送信される場合を考慮して、カード情報処理システム3においてS303、S305およびS306の処理が行われ、自動取引装置1においてS109およびS110の処理が行われるようにしてもよい。
また、制御部301は、S112でカードの挿入誤りがあった旨の通知を行った後、暗号化済情報を消去してもよい。
以上、本変更例1においても、診療費情報取得処理において、カード処理部304に診察券100が適用されるべきところ誤ってクレジットカード200が適用された場合にも、クレジットカード200から読み出されたクレジットカード情報が平文のまま自動取引装置1に保持された状態となることを回避できる。よって、クレジットカード200に保持された機密性の高いクレジットカード情報の安全性が確保されやすくなる。
また、本変更例1では、暗号化済情報を、平文の診察券情報に復号して返信してもらうためにカード情報処理システム3へ送信する前に、暗号化済情報が診察券情報を暗号化したものであるか否かの判定が行われ、暗号化済情報が察券情報を暗号化したものでない場合はカード情報処理システム3へ送信されない。これにより、クレジットカード情報を、暗号化された状態であっても、不必要なときに、極力、自動取引装置1から出さないようにできる。
<変更例2>
上記実施形態2では、診療費情報取得処理において、カード処理部304から制御部301に送信された情報が平文の診察券情報であるか暗号化済情報(暗号化されたクレジットカード情報)であるかにかかわらず、送信された情報からID相当情報が抽出されて医事システム2へ送信された。これに対し、変更例2では、自動取引装置1の制御部301において、受信した情報が平文の診察券情報であるか否かの判定が行われ、平文の診察券情報から抽出されたID情報が医事システム2へ送信される。
図12は、変更例2に係る、診療費情報取得処理において、自動取引装置1の制御部301により実行される制御を示すフローチャートである。図13(a)は、変更例2に係る、診療費情報取得処理において、カード処理部304のカード制御部407により実行される制御を示すフローチャートである。図13(b)は、変更例2に係る、診療費情報取得処理において、医事システム2の制御部2aにより実行される制御を示すフローチャートである。
図12、図13(a)および(b)のフローチャートにおいて、図7、図8および図9のフローチャートと同じ処理には、同じステップ番号が付されている。
図13(a)に示すように、カード処理部304において、カード制御部407は、クレジットカード情報を暗号化処理部408により暗号化すると(S506)、クレジットカード情報が暗号化された暗号化済情報にエラー情報を付加して制御部301へ送信する(S508)。
図12に示すように、制御部301は、カード処理部304から診察券情報およびクレジットカード情報である暗号化済情報のうち何れか情報を受信すると(S403:YES)、受信した情報にエラー情報が付加されているか否かを判定することにより、受信した情報が平文の診察券情報であるか否かを判定する(S409)。そして、エラー情報が付加されていない、即ち受信した情報が平文の診察券情報である場合(S409:NO)、制御部301は、その平文の診察券情報からID情報を抽出し、抽出したID情報を医事システム2へ送信する(S410)。
一方、エラー情報が付加されている、受信した情報が平文の診察券情報でない場合(S409:YES)、制御部301は、カードの挿入誤りがあった旨を通知する処理を行う(S411)。さらに、制御部301は、受信した情報、即ち暗号化済情報(暗号化されたクレジットカード情報)を消去する(S412)。そして、制御部301は、再び、カード制御部407に診察券100の受け付け指示を送信する(S402)。
自動取引装置1から医事システム2へID情報とは異なる情報が送信されないため、図13(b)に示すように、医事システム2において、制御部2aは、自動取引装置1からID情報を受信すると(S605:YES)、そのID情報に対応付けられた診療費情報を、図示しないデータベースから読み出して、自動取引装置1に送信する(S603)。即ち、制御部2aは、上記実施形態2で行っていたID相当情報がID情報であるか否かの判定(S602)と、当該判定に基づくエラー通知の送信(S305)の処理を行わない。また、医事システム2からのエラー通知がないため、図12に示すように、自動取引装置1において、制御部301は、エラー通知の受信に基づいてカードの挿入誤りを画面表示する処理(S407、S408)を行わない。
なお、上記の例では、カード処理部304において、暗号化済情報が送信されるときにエラー情報が付加され、制御部301が、このエラー情報に基づいて受信した情報が平文の診察券情報であるか否かを判定した。しかしながら、たとえば、暗号化済情報と平文の診察券情報とでデータ長やデータ量が異なる場合、これらの違いに基づいて、制御部301が、受信した情報が平文の診察券情報であるか否かを判定してもよい。この場合、カード処理部304からのエラー情報の送信は行われない。
以上、本変更例2においても、診療費情報取得処理において、カード処理部304に診察券100が適用されるべきところ誤ってクレジットカード200が適用された場合にも、クレジットカード200から読み出されたクレジットカード情報が平文のまま自動取引装置1に保持された状態となることを回避できる。よって、クレジットカード200に保持された機密性の高いクレジットカード情報の安全性が確保されやすくなる。
また、本変更例2では、制御部301は、取得した情報が暗号化されたクレジットカード情報(暗号化済情報)であることが確認されると、当該クレジットカード情報が消去される。これにより、クレジットカード情報が、暗号化された状態であっても自動取引装置1に残ることを回避できる。
<変更例3>
上記実施形態1、2では、1つのカード処理部304が、診察券100とクレジットカード200の両方を処理するように構成された。しかしながら、変更例3のように、診察券100を処理するための第1カード処理部311と、クレジットカード200を処理するための第2カード処理部312が、個別に、自動取引装置1に配置されてもよい。
なお、本変更例3では、磁気リーダ504が、請求項2、8および11に記載の「第1読取部」に対応する。また、暗号化処理部508が、請求項2および8に記載の「第1暗号化部」および請求項11に記載の「暗号化部」に対応する。さらに、磁気リーダ604が、請求項2、8および11に記載の「第2読取部」に対応する。また、暗号化処理部608が、請求項2および8に記載の「第2暗号化部」に対応する。
ただし、上記記載は、あくまで、特許請求の範囲の構成と変更例3の構成とを対応付けることを目的とするものであって、上記対応付けによって特許請求の範囲に記載の発明が実施形態の構成に何ら限定されるものではない。
図14は、変更例3に係る、自動取引装置1の構成を示すブロック図である。
図14に示すように、自動取引装置1は、第1カード処理部311と、第2カード処理部312を備える。上記のとおり、第1カード処理部311は、診察券100を受け付けて処理するためのカード処理部であり、第2カード処理部312は、クレジットカード200を受け付けて処理するためのカード処理部である。ここでは、第2カード処理部312は、通信部306を介して制御部301に接続されている。たとえば、第2カード処理部312は、独立したユニットを構成しており、USB等の通信線により、通信部306に接続される。但し、これに限らず、第2カード処理部312が、第1カード処理部311と同様の形態で、自動取引装置1に含まれてもよい。図14の構成において、第1カード処理部311および第2カード処理部312以外の各部の構成は、上記実施形態1、2と同様である。
図15は、変更例3に係る、第1カード処理部311および第2カード処理部312の構成を示す図である。
第1カード処理部311は、搬送部501と、センサ502a、502cと、磁気リーダ504と、磁気信号処理部506と、カード制御部507と、暗号化処理部508と、通信部509とを備える。第1カード処理部311は、図4に示したカード処理部304の構成からセンサ402b、通信部403、通信信号処理部405を省略した構成である。搬送部501、センサ502a、502c、磁気リーダ504、磁気信号処理部506、カード制御部507、暗号化処理部508および通信部509は、それぞれ、図4の搬送部401、センサ402a、402c、磁気リーダ404、磁気信号処理部406、カード制御部407、暗号化処理部408および通信部409と同様の構成である。
第2カード処理部312は、搬送部601と、センサ602a〜602cと、通信部603と、磁気リーダ604と、通信信号処理部605と、磁気信号処理部606と、カード制御部607と、暗号化処理部608と、通信部609とを備える。第2カード処理部312は、図4に示したカード処理部304と同様の構成である。
なお、変更例3では、上記のように、第1カード処理部311と第2カード処理部312が個別に設けられるため、各カード処理部に対応して2つのカード挿入口16a、16bが設けられる。第1カード処理部311は、カード挿入口16aから挿入されたカードを搬送路501aで搬入して処理する。第2カード処理部312は、カード挿入口16bから挿入されたカードを搬送路601aで搬入して処理する。
本変更例3では、第1カード処理部311のカード制御部507により、上記実施形態1と同じ図6(a)の診療費情報取得処理、または、上記実施形態2と同じ図8の診療費情報取得処理が実行される。また、第2カード処理部312のカード制御部607により、上記実施形態1、2と同じカード支払い処理が実行される。
本変更例3によれば、上記実施形態1または上記実施形態2と同様の効果を奏することができる。
なお、本変更例3において、第1カード処理部311のカード制御部507により、上記変更例1または上記変更例2の診療費情報取得処理が実行されてもよい。この場合、上記変更例1または上記変更例2と同様の効果を奏することができる。
<その他の変更例>
上記実施形態1、2において、カード支払い処理の際、ユーザにより、誤ってクレジットカード200でなく診察券100がカード挿入口16に挿入される場合が起こり得る。このような場合、カード処理部304のカード制御部407は、磁気リーダ404が診察券100から読み取った診察券情報を暗号化し、暗号化済情報として制御部301へ送信してもよいし、診察券情報を平文の状態で制御部301へ送信してもよい。
診察券情報を暗号化する構成とされた場合、診察券情報である暗号化済情報がカード情報処理システム3で復号され、復号された情報が診察券情報であると判明したときに、カード情報処理システム3から制御部301へエラー通知が送信される。これに基づいて、制御部301は、カードの挿入誤りがあったことを通知する処理(画面表示、音声報知)を行う。
診察券情報を暗号化しない構成とされた場合には、カード制御部407は、読み取られた情報がクレジットカード情報であるか否かを判定する。そして、カード制御部407は、クレジットカード情報でない、即ち診察券情報であると判定したとき、平文の診察券情報を制御部301へ送信する。制御部301は、平文の診察券情報を受信したとき、カードの挿入誤りがあったことを通知する処理を行う。
また、上記実施形態1、2では、第1種別の情報保持体として診察券100が示され、第2種別の情報保持体としてクレジットカード200が示されたが、第1種別の情報保持体と第2種別の情報保持体はこれに限られるものではない。たとえば、第2種別の情報保持体として、クレジットカード200以外の支払い処理(キャッシュレス決済の処理)に用いる、デビット等のカードが含まれてもよく、あるいは、機密性の高い情報が読み取られ得る、支払い処理に用いるカード以外のカードが第2種別の情報保持体に含まれてもよい。また、第1種別の情報保持体に診察券100以外のカード、たとえば、会員カードが含まれてもよい。
さらには、第1種別の情報保持体と第2種別の情報保持体は、カードでなくてもよい。たとえば、第1種別の情報保持体は、診察券として機能させるアプリケーションと診察券情報とを有するスマートフォン等の携帯端末であってもよいし、第2種別の情報保持体は、クレジットカードとして機能させるアプリケーションと支払い情報とを有するスマートフォン等の携帯端末であってもよい。
また、上記実施形態1、2では、自動取引装置1が医療機関に設置されることが想定されたが、自動取引装置1が、ガソリンスタンド等の医療機関以外の施設に設置されてもよい。この場合、当該施設において用いられる会員カードが、第1種別のカードであってもよい。
また、上記実施形態1、2では、カード処理部304に、暗号化処理部408が設けられた。しかしながら、暗号化処理部が、カード処理部304の外部、たとえば、制御部301の内部に設けられてもよい。同様に、上記変更例3のように、第1カード処理部311と第2カード処理部312が設けられる場合も、第1カード処理部311と第2カード処理部312の外部に、2つのカード処理部311、312からの情報を暗号化する共通の暗号化処理部が設けられてもよい。この場合、共通の暗号化処理部が、請求項2および8に記載の「第1暗号化部」および「第2暗号化部」に対応する。
また、自動取引装置1の構成は、図2(a)に示した構成に限られるものではなく、種々変更が可能である。たとえば、自動取引装置1に利用者の到来を検知するための人感センサが配置され、利用者の到来に応じて自動取引装置1が取引動作を開始する構成であってもよい。また、カード挿入口にカードを挿入する以外の形態で、カードを受け付ける(情報を読み取る)構成、たとえば、所定の読取面にカードをかざすことによりカードを受け付ける構成であってもよい。また、自動取引装置1が、精算のための機能以外の機能を持っていてもよい。たとえば、自動取引装置1が、診察券100により診察を受け付けて医事システム2に登録する機能を持っていてもよい。
この他、本発明の実施形態は、特許請求の範囲に記載の範囲で適宜変更可能である。