JP5810329B1 - 決済端末装置 - Google Patents

決済端末装置 Download PDF

Info

Publication number
JP5810329B1
JP5810329B1 JP2014109796A JP2014109796A JP5810329B1 JP 5810329 B1 JP5810329 B1 JP 5810329B1 JP 2014109796 A JP2014109796 A JP 2014109796A JP 2014109796 A JP2014109796 A JP 2014109796A JP 5810329 B1 JP5810329 B1 JP 5810329B1
Authority
JP
Japan
Prior art keywords
secure
terminal device
display
user interface
touch panel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014109796A
Other languages
English (en)
Other versions
JP2015226183A (ja
Inventor
一樹 齋藤
一樹 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2014109796A priority Critical patent/JP5810329B1/ja
Priority to US15/304,893 priority patent/US10657514B2/en
Priority to PCT/JP2015/002615 priority patent/WO2015182104A1/ja
Application granted granted Critical
Publication of JP5810329B1 publication Critical patent/JP5810329B1/ja
Publication of JP2015226183A publication Critical patent/JP2015226183A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07GREGISTERING THE RECEIPT OF CASH, VALUABLES, OR TOKENS
    • G07G1/00Cash registers
    • G07G1/12Cash registers electronically operated
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/24Credit schemes, i.e. "pay after"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/08Methods or arrangements for sensing record carriers, e.g. for reading patterns by means detecting the change of an electrostatic or magnetic field, e.g. by detecting change of capacitance between electrodes
    • G06K7/082Methods or arrangements for sensing record carriers, e.g. for reading patterns by means detecting the change of an electrostatic or magnetic field, e.g. by detecting change of capacitance between electrodes using inductive or magnetic sensors
    • G06K7/087Methods or arrangements for sensing record carriers, e.g. for reading patterns by means detecting the change of an electrostatic or magnetic field, e.g. by detecting change of capacitance between electrodes using inductive or magnetic sensors flux-sensitive, e.g. magnetic, detectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2250/00Details of telephonic subscriber devices
    • H04M2250/14Details of telephonic subscriber devices including a card reading device

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Human Computer Interaction (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Telephone Function (AREA)

Abstract

【課題】セキュアな部分と非セキュアな部分とが共存する場合であっても、堅牢性(耐落下衝撃性)を備え、操作中において指または入力用のスタイラスペンなどがセキュア部と汎用部との間を行き来する際の操作性を確保する。【解決手段】情報処理装置である決済端末装置11は、操作者に把持される筐体19に収容され、筐体の一面(操作表示面21)に第1のユーザ・インタフェース(第1のタッチパネル31)が設けられた第1の情報処理部と、筐体に収容され、筐体の一面にセキュアな操作が可能な耐タンパ性を有する第2のユーザ・インタフェース(第2のタッチパネル35)が設けられたセキュアな第2の情報処理部と、第1のユーザ・インタフェースの表面と前記第2のユーザ・インタフェースの表面とを覆って配置される一つの光透過部材(表面パネル36)と、を備える。【選択図】図1

Description

本発明は、取引における決済処理の手続を行うために使用される決済端末装置に関する。
例えば、クレジットカードを使用した物品又は役務の(信用)取引においては、取引を行う人物と取引に使用されるクレジットカードの所有者とが同一人物であるかどうかを確認(本人確認)することにより、取引の安全性(セキュリティ)が確保されている。この本人確認は、取引の決済処理時に取引内容の印字された取引伝票に顧客がサインし、このサインとクレジットカードに記載されているサインとを店員が目視により対比することにより行われている。
近年、このような署名の入力及び表示が可能な端末装置は、スマートフォンやタブレット端末を用いて実現されている。スマートフォンやタブレット端末は民生用機器として多数流通しており、安価に調達して決済端末装置を構築することが可能となる。即ち、このような決済端末装置は、スマートフォンやタブレット端末等のように民生用機器として多数流通している情報端末を用いて構成できれば、決済端末装置自体を安価に調達可能である。また、決済処理その他の業務に用いられるアプリケーション(ソフトウェア)の開発プラットフォームの汎用化が可能となるので、開発資産の再利用や流用が容易となる。
しかしながら、民生用機器として使用されることを想定して設計された情報端末には、顧客の情報を保護して取引を安全に行うために必要な「耐タンパ性」が備わっていない。「耐タンパ性」とは、情報端末から情報を盗み出そうとする攻撃に対する耐性である。情報端末から情報を盗み出そうとする攻撃の対策として耐タンパ性を確保するため、決済処理に用いられるカードの認証情報に関わる部分(特許文献1では「セキュア部」と称されている。決済端末装置として必要な耐タンパ性を備える部分。)が汎用部分から分離された移動体装置が提案されている(例えば特許文献1、2参照)。
米国特許出願公開第2010/0145854号明細書 特開2004−355211号公報
しかし、上述した特許文献1,2を含む従来の決済端末装置では、「耐タンパ性」が備わっていない非セキュア部が、汎用のスマートフォンやタブレット端末と同等の入力画面サイズを備え、さらにセキュア部が追加される構成となる。したがってこれらの情報処理装置では、筐体の強度が確保できなくなる。さらに、決済端末装置がこのような非セキュア部とセキュア部とのハイブリット構成となっても、その操作中において指または入力用のスタイラスペンなどがセキュア部と汎用部との間を行き来する際には、良好な操作性が確保されなければならない。
本発明は、上述した従来の状況に鑑みて、セキュアな部分と非セキュアな部分とが共存する場合であっても、堅牢性(耐落下衝撃性)を備え、操作中において指または入力用のスタイラスペンなどがセキュア部と汎用部との間を行き来する際の操作性を確保する決済端末装置を提供することを目的とする。
本発明は、操作者に把持される筐体に収容され、筐体の一面に決済に関する非セキュアな内容としての金額表示及び操作入力を可能とする第1のユーザ・インタフェースが設けられた第1の情報処理部と、筐体に収容され、前記第1のユーザ・インタフェースが設けられた筐体の一面にセキュアな操作が可能な耐タンパ性を有する第2のユーザ・インタフェースが設けられたセキュアな第2の情報処理部と、第1のユーザ・インタフェースの表面と前記第2のユーザ・インタフェースの表面とを覆って配置される一つの光透過部材と、を備え、前記第1のユーザ・インタフェースは、少なくともその一部で前記決済に関する金額を表示し非セキュアな入力操作が可能な非セキュア操作領域を有し、前記光透過部材は、前記非セキュア操作領域と、少なくとも前記第2のユーザ・インタフェースを含み前記決済に用いられる認証情報の入力及び前記認証情報の入力を可能とする表示を行うセキュア操作領域と、の境界を跨いで配置される決済端末装置である。
本発明によれば、上述した従来の状況に鑑みて、セキュアな部分と非セキュアな部分とが共存する場合であっても、堅牢性(耐落下衝撃性)を備え、操作中において指または入力用のスタイラスペンなどがセキュア部と汎用部との間を行き来する際のスムーズで快適な操作性を備えた決済端末装置を提供することができる。さらには、セキュア部と非セキュア部とに物理的な連続性が生まれ、外観的にも一体感を有し、デザイン性に優れた決済端末装置(取引端末装置)を提供できる。
(A)第1の実施形態の決済端末装置の正面図、(B)(A)に示す決済端末装置の側面図 第1の実施形態の決済端末装置における署名入力画面の表示例を示す正面図 第1の実施形態の決済端末装置のハードウェア構成の一例を示すブロック図 (A)第2の実施形態の決済端末装置のセキュアモードの正面図、(B)(A)示した決済端末装置の側面図、(C)(A)に示した決済端末装置の非セキュアモードの正面図 第2の実施形態の決済端末装置の決済処理時における第一の動作手順を説明するフローチャート 第2の実施形態の決済端末装置の決済処理時における第二の動作手順を説明するフローチャート (A)第3の実施形態の決済端末装置の正面図、(B)(A)に示す決済端末装置の側面図 表示を分割制御するハードウェア構成の一例を示すブロック図 (A)第3の実施形態の決済端末装置の正面図、(B)(A)に示す決済端末装置の側面図 (A)表示面上にセキュア状態表示領域が表示される第3の実施形態の変形例の決済端末装置の正面図、(B)(A)に示す決済端末装置の側面図 (A)第3のユーザ・インタフェースが設けられる第4の実施形態の決済端末装置の正面図、(B)(A)に示す決済端末装置の側面図 (A)セキュアLEDと非セキュアLEDとが設けられた第4の実施形態の変形例の決済端末装置の正面図、(B)(A)に示す決済端末装置の側面図 第3のユーザ・インタフェースが設けられる第4の実施形態の決済端末装置の正面図、 第5の実施形態に係るサービス提供者の操作状況の一例を、決済端末装置の表面側から見た動作説明図 第5の実施形態に係るサービス提供者が決済端末装置の第1のユーザ・インタフェースを挟んで第2のユーザ・インタフェースとは反対側の筐体端部を持ち、サービス享受者が第2のユーザ・インタフェースを操作する状況を表す動作説明図
以下、本発明に係る情報処理装置の各実施形態について、図面を参照して説明する。以下の各実施形態では、本発明に係る情報処理装置の一例として、商品又は役務の取引における決済処理の際に用いられる決済端末装置を例示して説明する。
(第1の実施形態)
図1(A)は、第1の実施形態の決済端末装置11の正面図である。図1(B)は、図1(A)に示す決済端末装置11の側面図である。図2は、第1の実施形態の決済端末装置11における署名入力画面13の表示例を示す正面図である。図3は、第1の実施形態に係る決済端末装置11のハードウェア構成の一例を示すブロック図である。
本実施形態の決済端末装置11は、可搬型であり、例えば商品又は役務の取引における決済処理を含む各種情報処理を行う第1の情報処理部15(図3参照)と第2の情報処理部17を備える。
本実施形態の決済端末装置11は、筐体19の操作表示面21に第1のユーザ・インタフェース(具体的には第1のタッチパネル31)を備える。第1のユーザ・インタフェース(第1のタッチパネル31)が設けられた筐体19には、第1の情報処理部15が収容される。操作者に把持される筐体19の第1の情報処理部15よりも手前には、耐タンパ性を有するセキュアな第2の情報処理部17が収容される。第2の情報処理部17は、第2のユーザ・インタフェース(具体的には第2のタッチパネル35)を備える。第2のユーザ・インタフェース(第2のタッチパネル35)は、第1のユーザ・インタフェース(第1のタッチパネル31)よりも手前の操作表示面21に配置される。
なお、以下の各実施形態において、「手前」とは、操作表示面21を鉛直線に沿う方向で起立させた筐体19の下側であり、操作表示面21を鉛直線に略直交する面に沿うように筐体19を把持したときの操作者に近い側を言う。したがって本実施形態の決済端末装置11は、操作表示面21にある第1のユーザ・インタフェースとセキュアな第2のユーザ・インタフェースとが鉛直線に沿う方向に並ぶように筐体19を起立させたときに、第2のユーザ・インタフェースは、第1のユーザ・インタフェースよりも筐体19の下側に配置される。または、本実施形態の決済端末装置11において、第1のユーザ・インタフェースとセキュアな第2のユーザ・インタフェースとは、筐体19の重心を挟んで互いに反対側に位置する端部に偏らせて、筐体19の一面である操作表示面21に配置される。
決済端末装置11は、可搬型であり、第1の情報処理部15と、「セキュア」な第2の情報処理部17とを含む構成である。「セキュア」とは、耐タンパ性を備えることを意味する。「タンパ」とは、情報処理装置内部のソフトウェアやハードウェアの不正な解析、改変や、情報処理装置内部の情報の不正な奪取、改変、利用不能にする攻撃を指す。したがって「耐タンパ性」とは、そのような攻撃に対する耐性を指す。耐タンパ性を有することで、例えば、決済処理において顧客の情報を保護し、取引を安全に実施できる。
第1の情報処理部15及び第2の情報処理部17は、分離可能でなくてよい。また、第1の情報処理部15は、「セキュア」に構成されても、「非セキュア」に構成されてもよい。「非セキュア」とは、耐タンパ性を備えていない、または耐タンパ性能が低いことを意味する。
決済端末装置11は、第1のユーザ・インタフェースを挟んで第2のユーザ・インタフェースの反対側(非セキュア側)に磁気カードリーダ部25が配置される。磁気カードリーダ部25は、スリット27を、第1の情報処理部15の上側面29に備える。スリット27は、磁気カードがスライド(スワイプ)され、磁気カードの情報(磁気ストライプ)を読み取るためのパスとなる。なお、スリット27は、第1の情報処理部15に設けられず、第2の情報処理部17に設けられてもよい。
決済端末装置11は、2つの入力部及び表示部(第1のユーザ・インタフェース、第2のユーザ・インタフェース)、即ち2つのタッチパネル(第1のタッチパネル31、第2のタッチパネル35)を備える。具体的には、第1の情報処理部15が備える前面29には、第1のユーザ・インタフェースである第1のタッチパネル31が設けられ、第2の情報処理部17が備える前面33には、第2のユーザ・インタフェースである第2のタッチパネル35が設けられる。第1のタッチパネル31は、例えば非セキュアな内容としての金額情報を表示し、更に、金額の入力を受け付ける。また、第2のタッチパネル35は、例えばセキュアな内容としてのPIN入力画面を表示し、更に、PINの入力を受け付ける。
決済端末装置11の筐体19の操作表示面21には、第1のユーザ・インタフェース、すなわち第1のタッチパネル31が配置される第1開口部と、第2のユーザ・インタフェース、すなわち第2のタッチパネル35が配置される第2開口部と、が形成される。第1開口部と第2開口部とが形成された筐体19の操作表示面21は、光透過性を備えた一枚の表面パネル36(光透過部材)によって覆われる。第1のユーザ・インタフェースは表示機能のみを備えるものであってもよいし、第2のユーザ・インタフェースは入力機能のみを備えるものであってもよい。
図2では、本実施形態の決済端末装置11における署名入力画面13の表示例が示されている。第1のタッチパネル31には、例えば金額情報が表示され、第2のタッチパネル35は、例えば非セキュアな内容としての署名入力画面13が表示され、更に、操作者(例えばクレジットカード取引を行った商品の購入者)の署名が入力される。
図3に示す決済端末装置11は、第1の情報処理部15及び第2の情報処理部17を備える。第1の情報処理部15は、第1のCPU37(Central Processing Unit)と、局所無線通信部39と、広域無線通信部41と、音声入出力部43と、第1の表示部45と、第1のタッチ入力検出部47とを含む構成である。また、第1の情報処理部15は、第1のフラッシュROM49(Read Only Memory)と、第1のRAM51(Random Access Memory)と、キー入力部53と、磁気カードリーダ部25と、第1の電源部55と、第1のバッテリ57と、第1のIF(Interface)部59とを含む構成である。また、第1の情報処理部15は、向き検知部61を更に備えてもよい。
第1の情報処理部15では、第1のCPU37に対して、各部が接続される。第1のCPU37は、第1の情報処理部15の全体を統括し、例えば、各種制御、処理、設定、判定、決定、確認を行う。
局所無線通信部39は、局所無線通信アンテナ63と接続され、局所無線通信路(図示略)を用いて、例えば無線LAN通信する機能を有する。局所無線通信部39は、無線LAN通信以外の通信(例えばBluetooth(登録商標)通信)を行ってもよい。
広域無線通信部41は、広域無線通信アンテナ65と接続され、図示しない広域無線通信路(例えばWAN(Wide Area Network))を介して通信する機能を有する。広域無線通信路における通信は、例えばW−CDMA(Wideband Code Division Multiple Access)、UMTS(Universal Mobile Telecommunications System)、CDMA(Code Division Multiple Access)2000、LTE(Long Term Evolution)等の移動体通信を用いて行われてもよい。
音声入出力部43は、マイク67及びスピーカ69と接続され、音声の入出力を制御する機能を有する。例えば、音声入出力部43、マイク67、スピーカ69、及び無線電話回線通信部(図示略)により、他の携帯電話や固定電話との通話が可能となる。また、スピーカ69は、例えば、ユーザ(店員又は顧客)が決済端末装置11を操作する際に、ユーザへ注意喚起する音、操作エラーを示す警告音を発することにも使用される。
第1の表示部45は、第1のタッチパネル31(図1参照)の表示を制御する機能を有する。第1のタッチ入力検出部47は、第1のタッチパネル31に対するタッチ入力を検出する機能を有する。第1のユーザ・インタフェースである第1のタッチパネル31は、例えば感圧式の透明シート状の第1のタッチ入力検出部47が第1の表示部(例えば液晶パネルや有機ELディスプレイなど)45に積層されて構成される。
第1のフラッシュROM49は、各種のデータを記憶する機能を有する。記憶されるデータは、業務に関わるデータでもよいし、決済端末装置11(例えば第1の情報処理部15)を制御するためのプログラムでもよい。
第1のRAM51は、例えば、決済端末装置11(例えば第1の情報処理部15)の動作に伴う演算処理の際に、演算処理の途中において発生する処理データを、一時的に記憶するために用いられるメモリである。
キー入力部53は、例えば、図1に示す入力キー71からの入力を受け付ける機能を有する。磁気カードリーダ部25は、図1におけるスリット27の内部に配置され、磁気カードの磁気ストライプを読み取る機能を有する。
第1の電源部55は、主に第1の情報処理部15の電源であり、第1のバッテリ57から電源の供給を受けて、第1の情報処理部15の各部(例えば第1のCPU37)へ電源を供給する。第1のCPU37は、第1の電源部55を制御することにより、第1の情報処理部15を構成する一部又は全体の回路に対して、電源供給及び電源供給の停止が可能である。第1のCPU37は、第1の電源部55を制御することにより、第2の情報処理部17に対して電源供給してもよい。
第1の情報処理部15及び第2の情報処理部17は、第1のインタフェース部(以下「第1のIF部59」)及び第2のインタフェース部(以下「第2のIF部73」)を介して、互いに接続され、各種のデータやコマンドの受け渡しが行われる。第1のIF部59と第2のIF部73とは、互いに結合可能である。
第2の情報処理部17は、第2のIF部73と、第2のCPU75と、第2の表示部77と、第2のタッチ入力検出部79と、第2のフラッシュROM81と、第2のRAM83と、セキュア入力部85と、第2の電源部87とを含む構成である。なお、本実施形態において、向き検出部は第1の情報処理部15に設けられているが、その代わりに第2の情報処理部17に設けられてもよい。
第2の情報処理部17では、第2のCPU75に対して、各部が接続される。第2のCPU75は、第2の情報処理部17の全体を統括し、例えば、各種制御、処理(例えば決済処理)、設定、判定、決定、確認、認証、照合(例えば、PIN、署名、の照合)を行う。
第2の表示部77は、第2のタッチパネル35(図1参照)の表示を制御する機能を有する。第2のタッチ入力検出部79は、第2のタッチパネル35に対するタッチ入力を検出する機能を有する。第2のユーザ・インタフェースである第2のタッチパネル35は、例えば感圧式の透明シート状の第2のタッチ入力検出部79が第2の表示部(例えば液晶パネルや有機ELディスプレイなど)77に積層されて構成される。
第2のフラッシュROM81は、各種のデータを記憶する機能を有する。記憶されるデータは、業務に関わるデータでもよいし、決済端末装置11(例えば第2の情報処理部17)を制御するためのプログラムでもよい。
第2のRAM83は、例えば、決済端末装置11(例えば第2の情報処理部17)の動作に伴う演算処理等の際に、演算処理の途中において発生する処理データを、一時的に記憶するために用いられるメモリである。
セキュア入力部85は、例えば、PINを入力するための物理的なキー又はソフトキーを有してもよい。セキュア入力部85には、例えば、署名が入力されてもよい。セキュア入力部85には、例えば、指又はスタイラスペンを用いて、PINが手書き入力されてもよい。
セキュア入力部85は、図1,図2において図示されていないが、例えば図1において、第2の情報処理部17の裏面に配置されてよい。第2の情報処理部17の裏面は、第2のタッチパネル35が設けられた前面29(表示面)に対して反対側に位置する面である。
第2の電源部87は、主に第2の情報処理部17の電源であり、第2のバッテリ89から電源の供給を受けて、第2の情報処理部17の各部(例えば第2のCPU75)へ電源を供給する。第2のCPU75は、第2の電源部87を制御することにより、第2の情報処理部17を構成する一部又は全体の回路に対して、電源供給及び電源供給の停止が可能である。第2のCPU75は、第2の電源部87を制御することにより、第1の情報処理部15に対して電源供給してもよい。
また、決済端末装置11は、重力に対する決済端末装置11の向きを検知する向き検知部61を備える。向き検知部61は、例えば、第1の情報処理部15及び第2の情報処理部17の少なくとも一方に設けられる。向き検知部61は、例えば加速度センサを用いて構成されても良い。図3では、向き検知部61が第1の情報処理部15に設けられることを例示している。
決済端末装置11は、「セキュア」又は「非セキュア」な第1の情報処理部15と、「セキュア」な第2の情報処理部17とが、互いに結合可能となる。決済に用いられるカードの認証情報(例えば署名、PIN情報)の入力及び表示は、「セキュア」な第2の情報処理部17が備える第2のタッチパネル35に対して行われる。従って、決済端末装置11は、決済に用いられるカードの認証情報の入力と表示が可能であり、「耐タンパ性」も確保できる。「耐タンパ性」を必要とする「セキュア」な部分は、第2の情報処理部17に局所化されたセキュアモジュール91として構成されている。
セキュアモジュール91は、耐タンパ性を有することで、非正規な手段による機密データの読み取りを防ぐ。耐タンパ性を高めるには、外部から読み取りにくいよう機密性を高める方法と、セキュアモジュール100の物理的な閉塞が破られていないか否かを検出する機構を設ける方法とがある。セキュアモジュール91は、自身の物理的な閉塞が破られたことを検出すると、外部からの読み取りを困難にしてもよいし、セキュアモジュール109の内部にあるプログラムやデータを破壊してもよい。セキュアモジュール91は、これらの双方を備えることができる。外部から読み取りを困難にする方法としては、プログラム自体を暗号化し、実行時に必要な分だけ復号して実行するソフトウェアを格納することで実現される。また、外部から読み取りに対し、プログラムやデータを破壊する方法としては、セキュアモジュール91の閉塞が破られると、秘密情報を消去または所定の値で上書きして安全に書き潰す回路、或いは動作できなくなる回路など設けることで実現される。
一方、第1の情報処理部15としては、例えば、民生用に多数流通している情報端末(例えばスマートフォン、タブレット端末)が用いられてもよい。第1の情報処理部15には、例えば、汎用(オペレーティング・システム)がソフトウェア・プラットフォームとして採用される。
従って、決済用のアプリケーション・ソフトウェア(以下「決済アプリケーション」、及びその他の業務に用いられるアプリケーション・ソフトウェア(以下「業務アプリケーション」)の開発資産の再利用や流用は、容易となる。また、決済アプリケーション及びその他の業務アプリケーションは、例えば高い演算処理能力を備える第1の情報処理部15により処理されることで、ストレスなく柔軟に動作する。
決済端末装置11は、第1の情報処理部15にインストールされた決済アプリケーション(図示略)を実行させて、決済手続を開始する。決済端末装置11は、決済に関する情報(例えば、金額情報、支払方法、決済に使用されるカードブランド情報)を、決済アプリケーションへの入力により、又は決済端末装置11の外部から受け取る。
決済端末装置11は、決済に関する情報を受け取ると、例えば図1に示すように、第1のCPU37及び第1のタッチパネル31が、決済に使用されるカードの読取り操作を促す処理及び表示を行う。
決済に使用されるカードの読取り操作を促す処理及び表示は、カードの読取りが行われたことが確認されるまで行われる。カードの読取りが行われたことが確認されたら、決済端末装置11は、カードの認証手続に入る。
カードの認証方法は、例えば、決済に使用されるカードの種類、カードの情報、又は、決済端末装置11を使用する加盟店(クレジットカード取引を取扱うクレジットカード加盟店)と決済センタとの間で結ばれている契約、に基づいて決定される。
認証方法がPINによる場合、決済端末装置11は、PIN入力画面の表示を、第2の情報処理部17に配置された第2のタッチパネル35に対して行い、カードの使用者(例えばクレジットカード取引における商品の購入者)によるPINの入力完了を待つ。PIN入力画面は、PINの入力が可能な画面である。PIN入力画面の表示は、例えば、PINの入力が完了したことが確認されるまで行われる。
PINの入力が完了したことが確認されると、決済端末装置11は、入力されたPINが、決済に使用されるカードに登録されたPIN又は決済センタに登録されたPIN、と一致するか否かの照合結果が得られるのを待つ。
PINの照合は、例えば決済センタにおいて行われる。決済端末装置11は、入力されたPINを暗号化して、その暗号化されたPINを、カード情報とともに決済センタに送信する。
決済センタは、決済端末装置11から受信したPINを復号し、復号されたPINと決済センタにおいて管理されているPINとを照合する。これら2つのPINが一致し、PINとともに送信されてきたカード情報を有するカードが取引上問題無いと確認された(例えばブラックリストに載っていない)場合、決済センタは、決済端末装置11に対して与信を行う。
決済端末装置11は、決済センタからの与信を受けて、その後の決済処理としての売上処理を行い、決済センタとの通信を終了する。決済端末装置11は、その売上処理のデータの決済センタへの送信を、売上処理の完了後から決済センタとの通信を終了するまでの間に行ってもよいし、他の決済の売上処理データと併せて後ほど行ってもよい。
2つのPINが一致しない場合、決済センタは、決済端末装置11に対して与信できない旨の通知を行う。決済端末装置11は、決済センタからの通知を受けて売上処理を行わず、決済は中止される。
認証方法がPINによる場合において、PINの照合は、決済端末装置11と、その決済端末装置11に読み取られるクレジットカード(図示略)との間で行ってもよい。決済端末装置11は、入力されたPINと、クレジットカード内のチップ(図示略)に予め記録されているPINと、が一致するという照合結果が、クレジットカード内のチップから得られれば、その後の決済処理としての売上処理を行う。
決済端末装置11は、その売上処理のデータの決済センタへの送信を、売上処理の完了直後かつ決済センタとの通信を終了する前に行ってもよいし、他の決済の売上処理データと併せて後ほど行ってもよい。2つのPINが一致しないという照合結果が得られた場合には、決済端末装置11における売上処理は中止され、決済は中止される。
認証方法が署名による場合、決済端末装置11は、署名入力画面13の表示を、第2の情報処理部17に配置された第2のタッチパネル35に対して行い、カードの使用者による署名の入力完了を待つ。署名入力画面13は、例えば、図2に示す署名の入力が可能な画面である。署名入力画面13の表示は、例えば、署名の入力が完了したことが確認されるまで行われる。署名の入力が完了したことが確認されると、決済端末装置11は、決済処理を実行する。
以上の動作例は、決済端末装置11が備える第1の情報処理部15と、「セキュア」な第2の情報処理部17と、の協働により行われる。決済アプリケーションは、第1の情報処理部15において動作する。決済に関する情報(例えば、金額情報、支払方法、決済に使用されるカードブランドの情報)の表示や、決済に使用されるカードの読取り操作を促す表示は、第1の情報処理部15又は「セキュア」な第2の情報処理部17のいずれかにおいて行われてよい。
一方、PIN入力画面又は署名入力画面13の表示は、「セキュア」な第2の情報処理部17に配置された第2のタッチパネル35により行われる。PIN入力画面又は署名入力画面13の表示は、決済に使用されるカードの読取り操作を促す表示が行われ、使用されるカードの読取りが行われてから、カードの使用者によるPIN又は署名の入力が完了するまで行われる。
以上に述べたように、決済端末装置11は、顧客によって決済に用いられるカードの認証情報(例えば署名又はPIN)の入力と表示が可能であり、「耐タンパ性」も確保できる。決済端末装置11は、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを明示的に認知させることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。
それに加えて、先に述べたように、決済端末装置11の筐体19の操作表示面21には、第1のユーザ・インタフェース、即ち第1のタッチパネル31が配置される第1開口部と、第2のユーザ・インタフェース、即ち第2のタッチパネル35が配置される第2開口部と、が形成される。そして、第1開口部と第2開口部とが形成された筐体19の操作表示面21は、光透過性を備えた一枚の表面パネル36(光透過部材)によって覆われる。例えば汎用のスマートフォンまたはタブレット端末と同等の入力画面サイズを有する第1のタッチパネル31を備えた第1の情報処理部15と、セキュアな第2の情報処理部17との両方が、薄型の筺体19に収容される。そして、筺体19の厚み方向と直交する一方向が、その一方向および筺体19の厚み方向と直交する他の方向と比較して長くなり、落下時による変形力がその一方向に加わっても、一つの光透過部材が操作表示面を補強する形で筺体を支持する。したがって、落下時の衝撃による筐体19の破損の可能性は低減される。
特に、本実施形態1における決済端末装置11の筐体19の操作表示面21において、第1のタッチパネル31が配置される第1開口部の周辺部分と、第2のタッチパネル35が配置される第2開口部の周辺部分は、側部および上下端部までの距離が小さい。すなわち第1開口部および第2開口部の周辺部分は、決済端末装置11の落下により破損されやすくなっている。したがって、光透過性を備えた一枚の表面パネル36が操作表示面21を補強する形で支持するので、落下時の衝撃による筐体19の破損の可能性は低減される。
第1のタッチパネル31とは別に、セキュア専用の第2のタッチパネル35が設けられている。操作者は、決済端末装置11の操作中において、指または入力用のスタイラスペンなどを第1のタッチパネル31とセキュアが保証された入力領域である第2のタッチパネル35(第2のユーザ・インタフェース)との間を行き来して入力する必要が生じる。しかしながら、第1のタッチパネル31および第2のタッチパネル35は、両方とも一つの光透過部材によって覆われている。したがって操作者は、双方の表示内容を視認しながら、第1のタッチパネル31と第2のタッチパネル35の間に設けられた溝または突起部に、指または入力用のスタイラスペンなどを引っ掛けることなく、スムーズに行き来させることができる。
すなわち表面パネル36は、筺体19の操作表示面21において、第2の情報処理部17の収容部分を含むセキュア領域と、第1の情報処理部15の収容部分の少なくとも一部を含む非セキュア領域との筺体境界CBを跨いで配置される。操作者は、筺体においてセキュアが保証された入力領域を備える部分と、それ以外の領域との境界を明示的に認識しながら、指または入力用のスタイラスペンなどをそれら2つの領域の間で行き来させることができる。言い替えると、表面パネル36は、筺体19の操作表示面21において、第1の情報処理部15の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部17の収容部分を含む第2の筐体領域との筺体境界CBを跨いで配置される。決済端末装置11は、第2のタッチパネル35が、認証情報(PIN等)の入力の安全性を保証する領域であることを、近傍に配置した筺体境界を操作者に視認させることで、明示的に認知させることができる。そして操作者は、操作中において指または入力用のスタイラスペンなどを、筺体境界を跨いで第2のタッチパネル35と第1のタッチパネル31との間を行き来させることができる。
さらに、決済端末装置11の筐体19において、第2のタッチパネル35は、認証情報を入力する操作者から見て第1の情報処理部15よりも手前に収容され、操作表示面21の第1のタッチパネル31よりも手前に設けられる。このような構成により、PINPADまたは署名欄などの認証情報の入力画面が表示される第2のタッチパネル35が、認証情報を入力する操作者から見て、第1のタッチパネル31より近い位置に配置される。したがってこの決済端末装置11によれば、操作者またはセキュア入力/非セキュア入力の相違に応じて、快適な操作性が提供される。認証情報を入力する操作者は、第1のタッチパネル31に表示される情報を、認証情報を入力する手などに遮られることなく確認しながら、認証情報を入力することができる(これらの点については後述する第5の実施形態においても説明する)。
入力キー71が物理的なキーである場合、表面パネル36における入力キー71の配置部分には開口部が設けられる。決済端末装置11の操作者は、入力キー71を押下可能となる。入力キー71の押下面は、表面パネル36の外側の面(筐体19との対向面とは反対側の面)と同一面であることが望ましい。操作者は、筐体19の操作表示面21において、第1のタッチパネル31と第2のタッチパネル35との間に溝または突起部に設けられても、指または入力用のスタイラスペンなどを引っ掛けることなく、スムーズに行き来させることができる。
以上に述べたように、本第1の実施形態の決済端末装置11は、セキュアな部分と非セキュアな部分とが共存する場合であっても、認証情報の安全な入力を可能とし、入力された認証情報のセキュアな処理を実現する。そして決済端末装置11は、堅牢性(耐落下衝撃性)を有する筐体19を備える。さらに決済端末装置11は、操作中において指または入力用のスタイラスペンなどがセキュア部(第2の情報処理部17)の第2のタッチパネル35と汎用部(第1の情報処理部15)の第1のタッチパネル31との間を、スムーズに行き来させることができる。すなわち決済端末装置11は、快適な操作性を備えることができる。そしてさらに、セキュア部と非セキュア部とに物理的な連続性が生まれ、外観的にも一体感を有し、デザイン性に優れた決済端末装置11が提供される。
本実施形態に係る決済端末装置11では、セキュアな第2の情報処理部17が、第1の情報処理部15と隔絶して配置可能となる。これにより、第2の情報処理部17は、必要最小スペースでのセキュアモジュール91として集中配置が可能となる。従って、第2の情報処理部17は、耐タンパ性(セキュリティ)の確保が容易となる。また、第1のタッチパネル31とは別に、セキュア専用の第2のタッチパネル35が設けられることで、操作者は、セキュアが保証された入力領域であることを容易に認識できる。このように、決済端末装置11は、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。さらに、第2のタッチパネル35が設けられた第2の情報処理部17は、第1の情報処理部15とは異なる色(および表面処理)の筐体19を備えてもよい。筐体19の色または表面処理は、筐体19の少なくとも一部において、第1の情報処理部15と第2の情報処理部17との境界を境に異なってもよい。例えば、操作表示面21においては、第1の情報処理部15と第2の情報処理部17との境界を境に、第2の情報処理部17と第1の情報処理部15とは互いに異なる色または表面処理が施され、それ以外の部分(例えば背面)については同じ色または表面処理が施されてもよい。または、セキュア専用の第2のタッチパネル35における表示の背景色は、第1の情報処理部15に設けられた第1のタッチパネル31における表示の背景色とは異なるものであってもよい。これらによっても、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを知らしめることができる。
また、決済端末装置11では、磁気カードリーダ部25がセキュアな第2の情報処理部17から外れた第1の情報処理部15に配置される。従って、第2の情報処理部17は、必要最小スペースでの集中配置が可能となる。これにより、第2の情報処理部17において、耐タンパ性の確保が物理的に容易となる。その結果、決済端末装置11は、PINなどの認証情報をセキュアに入力するセキュリティの高さを確保しながら、磁気カード読取りスワイプ操作の使い易さも同時に実現できる。
(第2の実施形態)
図4(A)は、第2の実施形態の決済端末装置93Aの正面図である。図4(B)は、図4(A)に示した決済端末装置93Aの側面図である。なお、以下の各実施形態において、図1〜図3に示した部材・部位と同等のものには同一の符号を付して重複する説明は省略する。図5は、第2の実施形態の決済端末装置93Aの決済処理時における動作手順を詳細に説明するフローチャートである。
本実施形態の決済端末装置93Aは、例えば認証入力時に、第1の情報処理部15が非セキュアモードであることを示す非セキュア表示LED(セキュア状態表示部)95Aを消灯させ、認証入力時以外では第1の情報処理部15が非セキュアモードであることを示す非セキュア表示LED95Aを点灯させる。非セキュアLED95Aは、第1のタッチパネル31と第2のタッチパネル35との間の操作表示面21に配置される。
次に、本実施形態の決済端末装置93Aの決済処理時における動作について、図5を参照して説明する。図5は、第2の実施形態の決済端末装置93Aの決済処理時における動作手順を詳細に説明するフローチャートである。決済端末装置93Aは、第2の情報処理部17にインストールされた端末UI決済アプリケーション(図示略)を実行させて、決済処理の手続を開始する。図5の説明の前提として、決済端末装置93Aは、非セキュアモードの状態とする。非セキュアLED95Aは、点灯状態である。
図5において、まず、オペレーティングシステム(図示略)は、第1の情報処理部15が非セキュアモードの状態であることを示すために、非セキュアフラグを「True」に設定する(S1A)。非セキュアフラグが「True」に設定されると、第2のCPU75は、非セキュアLED95A、すなわち「NON SECURED」を点灯させる(図4(A)参照)。
例えば第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)は、決済金額情報及び支払方法の入力を受け付けると(S2)、カードの読取り操作を促すためのメッセージを第1のタッチパネル31に表示させる(S3)。
ICカード入出力ドライバ(図示略)は、ユーザのICカードのスリットへのスライド、挿入口への挿入又は決済端末装置93Aの前面29への近接のいずれかの操作により、ICカードを読み取るまで待機する(S4)。ICカードが読み取られると(S4、YES)、オペレーティングシステム(図示略)は、第1の情報処理部15がセキュアモードの状態に変更されたことを示すために、非セキュアフラグを「False」に変更する(S5A)。非セキュアフラグが「False」に変更されると、第2のCPU75は、非セキュアLED95A、すなわち「NON SECURED」を消灯させる。
例えば第2の情報処理部17にインストールされたセキュア画面UIアプリケーション(具体的には、第2のCPU75)は、第2のIF部73、第1のIF部59及び第1のCPU37を介して、第1のタッチパネル31に対し、PIN情報の入力をユーザに対して促すためのメッセージと、ソフトウェアキーボードの一例としてのPINパッドとの表示を指示する(S6)。
第2のCPU75は、第2のタッチ入力検出部79を介して、第2のタッチパネル35により入力されたPIN情報を入力する(S7)。
PIN情報が第2のタッチ入力検出部79に入力されると、オペレーティングシステムは、第1の情報処理部15が非セキュアモードの状態に変更されたことを示すために、非セキュアフラグを「True」に変更する(S8A)。非セキュアフラグが「True」に変更されると、第2のCPU75は、非セキュアLED95A、すなわち「NON SECURED」を点灯させる(図4(A)参照)。なお、非セキュアLED95Aにおける「NON SECURED」の点灯および消灯は、セキュアな第2の情報処理部17の第2のCPU75、即ち、セキュアな実行環境の下で制御される。
図5に示すPIN照合が必要な決済処理時における動作手順において、ステップS7において入力されたPIN情報は、ステップS4において読み取りを行ったICカードが復号可能な鍵によって暗号化されてもよい。ステップS7において第2のタッチパネル35により入力されたPIN情報は暗号化されてもよい。暗号化されたPIN情報(暗号化PIN情報)は、第2のCPU75に出力される。
第2のCPU75は、PIN情報又は暗号化PIN情報を、不図示の所定のドライバ(例えばICカード入出力ドライバ及びICカードリーダドライバ)を介して、ICカードに渡す。
ICカードは、第2のCPU75より得られたPIN情報又は暗号化PIN情報を復号したデータとICカードに予め登録されているPIN情報とを照合し(S9)、それらのPINの照合結果を出力する。第2のCPU75は、ICカードから出力されたPINの照合結果を、上述したICカードリーダドライバ及びICカード入出力ドライバを介して入力する。
第2のCPU75は、ステップS7において入力されたPIN情報とステップS4において読み取られたICカードに登録されたPIN情報とが一致するという照合結果がICカードから得られれば、オペレーティングシステムを介して、第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)に対して、その後の決済処理としての売上処理を指示する(S10)。
第1の情報処理部15において、端末UI決済アプリケーション(具体的には、第1のCPU37)は、ステップS7において入力されたPIN情報とステップS4において読み取られたICカードに登録されたPIN情報とが一致するという照合結果が得られれば、その後の決済処理としての売上処理を行う。売上処理後の売上処理データは、第1の情報処理部15にインストールされたセンタ接続アプリケーション(具体的には、第1のCPU37)を介して、決済センタへと送信される。なお、ステップS10に示す売上処理データの売上処理は、顧客が商品を購入した場合又は役務の提供を受けた場合に都度、実行されてもよいし、決済端末装置93Aと決済センタとの通信が所定のタイミング(例えば1週間に1回)において行われ、その際に他の売上処理データとともに一括で処理されてもよい。
一方、第2のCPU75は、ステップS9におけるPIN情報の照合の結果、両者が一致しないと判断した場合には、第2の情報処理部17にインストールされたセキュア画面UIアプリケーション(具体的には、第2のCPU75)に対し、第1のタッチパネル31に決済処理を中止する旨のメッセージの表示を実行させる(S11)。第2のCPU75は、第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)に対して売上処理を指示せず、その後の決済処理の手続は中止される。
この決済端末装置93Aでは、非セキュアLED95Aによって、非セキュア表示(「NON SECURED」)が点灯または消灯される。非セキュアLED95Aは、耐タンパ性を有しない非セキュアモードであることを示す非セキュア表示を行うセキュア状態表示部である。この非セキュアLED95Aが、第1のタッチパネル31と第2のタッチパネル35との間の操作表示面21に配置され、セキュアな第2のタッチパネル35と共に、手前に互いに隣接してまとまった位置で設けられる。このように、決済端末装置93Aは、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを、近傍に配置した非セキュアLED95Aを視認させることで、知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。
決済端末装置93Aの筐体19の操作表示面21には、第1のユーザ・インタフェース、即ち第1のタッチパネル31が配置される第1開口部と、第2のユーザ・インタフェース、即ち第2のタッチパネル35が配置される第2開口部と、が形成される。そして、第1開口部と第2開口部とが形成された筐体19の操作表示面21は、光透過性を備えた一枚の表面パネル36(光透過部材)によって覆われる。表面パネル36は、筺体19の操作表示面21において、第2の情報処理部17の収容部分を含むセキュア領域と、第1の情報処理部15の収容部分の少なくとも一部を含む非セキュア領域との筺体境界CBを跨いで配置される。または、表面パネル36は、筺体19の操作表示面21において、第1の情報処理部15の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部17の収容部分を含む第2の筐体領域との筺体境界CBを跨いで配置される。決済端末装置93Aの筐体19において、第2のタッチパネル35は、認証情報を入力する操作者から見て第1の情報処理部15よりも手前に収容され、操作表示面21の第1のタッチパネル31よりも手前に設けられる。これらの点については第1の実施形態における決済端末装置11と同様である。さらに、本第2の実施形態における決済端末装置93Aの表面パネル36は、筺体19の操作表示面21において、セキュア状態表示部である非セキュアLED95Aを跨いで配置される。すなわち非セキュアLED95Aは、第1のユーザ・インタフェースおよび第2のユーザ・インタフェースとともに、一つの表面パネル36で覆われる。
決済端末装置93Aは、近傍に配置した非セキュアLED95Aの消灯状態を操作者に視認させることによって、第2のタッチパネル35が認証情報(PIN等)の入力の安全性を保証する領域であることを、暗示的に示す。したがって操作者は、第2のタッチパネル35が認証情報を入力するための安全性を保証する領域であることを認知し、認証情報の安全な入力をセキュアが保証された入力領域に対して確実に行うことができる。そして操作者は、第1のタッチパネル31および第2のタッチパネル35の表示内容を視認しながら、セキュアな第2のタッチパネル35と、非セキュアな第1のタッチパネル31との間をスムーズに行き来させることができる。すなわち操作者は、第1のタッチパネル31と第2のタッチパネル35との間を、その双方の間に設けられた溝、突起部または非セキュアLED95Aに、指または入力用のスタイラスペンなどを引っ掛けることなく、スムーズに行き来させることができる。
図4(C)は、第2の実施形態の変形例に係る決済端末装置93Bの正面図である。図6は、第2の実施形態の変形例に係る決済端末装置93Bの決済処理時における動作手順を詳細に説明するフローチャートである。決済端末装置93Bは、第2の情報処理部17にインストールされた端末UI決済アプリケーション(図示略)を実行させて、決済処理の手続を開始する。図6の説明の前提として、決済端末装置93Bは、非セキュアモードの状態とする。セキュアLED95Bは、消灯状態である。
本実施形態の決済端末装置93Bは、例えば認証入力時に、第1の情報処理部15がセキュアモードであることを示すセキュアLED(セキュア状態表示部)95Bを点灯させ、認証入力時以外では第1の情報処理部15がセキュアモードであることを示すセキュアLED95Bを消灯させる。セキュアLED95Bは、第1のタッチパネル31と第2のタッチパネル35との間の操作表示面21に配置される。
図6において、まず、オペレーティングシステム(図示略)は、第1の情報処理部15が非セキュアモードの状態であることを示すために、セキュアフラグを「False」に設定する(S1B)。セキュアフラグが「False」に設定されると、第2のCPU75は、セキュアLED95B、すなわち「SECURED」を消灯状態とする。図4(C)における「SECURED」(セキュアLED95B)は点灯状態を示しているが、ステップS1Bにおいて「SECURED」は消灯状態である。
例えば第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)は、決済金額情報及び支払方法の入力を受け付けると(S2)、カードの読取り操作を促すためのメッセージを第1のタッチパネル31に表示させる(S3)。
ICカード入出力ドライバ(図示略)は、ユーザのICカードのスリットへのスライド、挿入口への挿入又は決済端末装置93Bの前面29への近接のいずれかの操作により、ICカードを読み取るまで待機する(S4)。ICカードが読み取られると(S4、YES)、オペレーティングシステム(図示略)は、第1の情報処理部15がセキュアモードの状態に変更されたことを示すために、セキュアフラグを「True」に変更する(S5B)。セキュアフラグが「True」に変更されると、第2のCPU75は、セキュアLED95B、すなわち「SECURED」を点灯させる(図4(C)参照)。
例えば第2の情報処理部17にインストールされたセキュア画面UIアプリケーション(具体的には、第2のCPU75)は、第2のIF部73、第1のIF部59及び第1のCPU37を介して、第1のタッチパネル31に対し、PIN情報の入力をユーザに対して促すためのメッセージと、ソフトウェアキーボードの一例としてのPINパッドとの表示を指示する(S6)。
第2のCPU75は、第2のタッチ入力検出部79を介して、第2のタッチパネル35により入力されたPIN情報を入力する(S7)。
PIN情報が第2のタッチ入力検出部79に入力されると、オペレーティングシステムは、第1の情報処理部15が非セキュアモードの状態に変更されたことを示すために、セキュアフラグを「False」に変更する(S8B)。セキュアフラグが「False」に変更されると、第2のCPU75は、セキュアLED95B、すなわち「SECURED」を消灯させる。なお、セキュアLED95Bにおける「SECURED」の点灯および消灯は、セキュアな第2の情報処理部17の第2のCPU75、即ち、セキュアな実行環境の下で制御される。
第2の実施形態の変形例に係る決済端末装置93Bの決済処理時におけるステップS9以降の動作手順については、第2の実施形態の決済端末装置93Aの決済処理時におけるステップS9以降の動作手順と同様である。
この決済端末装置93Bでは、セキュアLED95Bによって、セキュア表示(「SECURED」)が点灯または消灯される。セキュアLED95Bは、耐タンパ性を有するセキュアモードであることを示すセキュア表示を行うセキュア状態表示部である。このセキュアLED95Bが、第1のタッチパネル31と第2のタッチパネル35との間の操作表示面21に配置され、セキュアな第2のタッチパネル35と共に、手前に互いに隣接してまとまった位置で設けられる。このように、決済端末装置93Bは、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを、近傍に配置したセキュアLED95Bを視認させることで、知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。
決済端末装置93Bの筐体19の操作表示面21には、第1のユーザ・インタフェース、即ち第1のタッチパネル31が配置される第1開口部と、第2のユーザ・インタフェース、即ち第2のタッチパネル35が配置される第2開口部と、が形成される。そして、第1開口部と第2開口部とが形成された筐体19の操作表示面21は、光透過性を備えた一枚の表面パネル36(光透過部材)によって覆われる。表面パネル36は、筺体19の操作表示面21において、第2の情報処理部17の収容部分を含むセキュア領域と、第1の情報処理部15の収容部分の少なくとも一部を含む非セキュア領域との筺体境界CBを跨いで配置される。または、表面パネル36は、筺体19の操作表示面21において、第1の情報処理部15の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部17の収容部分を含む第2の筐体領域との筺体境界CBを跨いで配置される。決済端末装置93Bの筐体19において、第2のタッチパネル35は、認証情報を入力する操作者から見て第1の情報処理部15よりも手前に収容され、操作表示面21の第1のタッチパネル31よりも手前に設けられる。これらの点については第1の実施形態における決済端末装置11と同様である。
さらに、本第2の実施形態の変形例における決済端末装置93Bの表面パネル36は、筺体19の操作表示面21において、さらにセキュアLED95Bを跨いで配置される。すなわちセキュアLED95Bは、第1のユーザ・インタフェースおよび第2のユーザ・インタフェースとともに、一つの表面パネル36で覆われる。
決済端末装置93Bは、近傍に配置したセキュアLED95Bの点灯状態を操作者に視認させることによって、第2のタッチパネル35が認証情報(PIN等)の入力の安全性を保証する領域であることを、明示的に示す。したがって操作者は、第2のタッチパネル35が認証情報を入力するための安全性を保証する領域であることを認知し、認証情報の安全な入力をセキュアが保証された入力領域に対して確実に行うことができる。そして操作者は、第1のタッチパネル31および第2のタッチパネル35の表示内容を視認しながら、セキュアな第2のタッチパネル35と、非セキュアな第1のタッチパネル31との間をスムーズに行き来させることができる。すなわち操作者は、第1のタッチパネル31と第2のタッチパネル35との間を、その双方の間に設けられた溝、突起部またはセキュアLED95Bに、指または入力用のスタイラスペンなどを引っ掛けることなく、スムーズに行き来させることができる。
さらに、図4(A)の決済端末装置93Aまたは図4(C)の決済端末装置93Bのいずれにおいても、第2のタッチパネル35が設けられた筐体19の第2の情報処理部17側は、第1の情報処理部15側とは異なる色(および表面処理)を有してもよい。具体的には、第1のタッチパネル31と、非セキュアLED95A(図4(A))またはセキュアLED95B(図4(B))との間にある筺体境界CBを境に、決済端末装置93Aまたは決済端末装置93Bの筐体19の色(および表面処理)が異なってよい。筐体19の色または表面処理は、筐体19の少なくとも一部において、第1の情報処理部15と第2の情報処理部17との境界を境に異なってもよい。例えば、操作表示面21においては、第1の情報処理部15と第2の情報処理部17との境界を境に、第2の情報処理部17と第1の情報処理部15とは互いに異なる色または表面処理が施され、それ以外の部分(例えば背面)については同じ色または表面処理が施されてもよい。もしくは、セキュア専用の第2のタッチパネル35における表示の背景色は、第1のタッチパネル31における表示の背景色とは異なるものであってもよい。これらのことによっても、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを知らしめることができる。
(第3の実施形態)
図7(A)は、第3の実施形態の決済端末装置97の正面図である。図7(B)は、(A)に示す決済端末装置97の側面図である。本実施形態の決済端末装置97は、第1のタッチパネル31と第2のタッチパネル35との間に、第1の情報処理部15がセキュアモードであることを示すセキュア報知(例えば表示、点灯)を行うセキュア報知部の一例としてのセキュアLED(セキュア状態表示部)99が配置される。また、本実施形態の決済端末装置97は、第1のタッチパネル31を挟んでセキュアLED99の反対側に、第1の情報処理部15が非セキュアモードであることを示す非セキュア報知(例えば表示、点灯)を行う非セキュア報知部の一例としての非セキュアLED(セキュア状態表示部)101が配置される。そして表面パネル36は、筺体19の操作表示面21において、セキュア報知部を跨いで配置される。
また、この決済端末装置97は、第1のタッチパネル31の第2のタッチパネル35に近接する側の表示面上に、セキュア表示領域103が表示される。セキュア表示領域103には、例えば「暗証番号を入力して下さい。」等が表示される。第1のタッチパネル31では、セキュア表示領域103以外の表示領域が、非セキュア表示領域105となる。非セキュア表示領域105は、セキュア表示領域103よりも広い面積が設定される。
図8は、表示を分割制御するハードウェア構成の一例を示すブロック図である。決済端末装置97は、図3に示す第1の情報処理部15に、第1のタッチ入力処理部107と、第1の表示生成部109とを更に含む構成であり、更に、図3に示す第2の情報処理部17に、切替部111と、第2のタッチ入力処理部113と、第2の表示生成部115と、タッチ・表示切替制御部117とを更に含む構成である。
第1のタッチ入力処理部107は、第1のタッチパネル31の非セキュア表示領域105で入力された第1のタッチ入力検出部47の入力値を取得する。第1の表示生成部109は、第1のタッチ入力検出部47で取得された入力値に基づき、第1のCPU37によって非セキュア表示領域105での表示データ(例えば「購入金額合計」)を生成する。そして第1の表示生成部109は、第2のCPU75によってセキュア表示領域103での表示データ(例えば「暗証番号を入力して下さい。」)を生成し、第1のタッチ入力検出部47からPINを入力する。操作者がPINの入力を開始したら、決済端末装置97は、PINの入力状況を示すために、入力されたPINの数に応じた個数のアスタリスク(*)などのマークを、第1のタッチパネル31のセキュア表示領域103に表示してもよい。
切替部111は、タッチ・表示切替制御部117からの表示領域切替の指示に応じて、第1のタッチ入力検出部47及び第1の表示部45を、第1のタッチ入力処理部107及び第1の表示生成部109、又は、第2のタッチ入力処理部113及び第2の表示生成部115に切り替えて接続する。
第2のタッチ入力処理部113は、第1のタッチパネル31のセキュア表示領域103で入力された第1のタッチ入力検出部47の入力値を取得する。第2の表示生成部115は、第1のタッチ入力検出部47で取得された入力値に基づき、第2のCPU75によってセキュア表示領域103での表示データを生成する。
タッチ・表示切替制御部117は、第2のCPU75からの指示によって切替部111に表示領域切替の指示を送る。これにより、第1のタッチパネル31は、セキュアな第2の情報処理部17におけるタッチ・表示切替制御部117によって表示制御権が常に握られる(プロンプトコントロールされる)。すなわち、決済端末装置97は、セキュアな第2の情報処理部17が、第1のタッチパネル31への表示制御権を常に管理するように構成される。
再び図7(A)において、決済端末装置97の筐体19の操作表示面21には、第1のユーザ・インタフェース、即ち第1のタッチパネル31が配置される第1開口部が形成される。そして操作表示面21には、第2のユーザ・インタフェース、即ち第2のタッチパネル35が配置される第2開口部、が形成される。第1開口部と第2開口部とが形成された筐体19の操作表示面21は、光透過性を備えた一枚の表面パネル36(光透過部材)によって覆われる。表面パネル36は、筺体19の操作表示面21において、第2の情報処理部17の収容部分を含むセキュア領域と、第1の情報処理部15の収容部分の少なくとも一部を含む非セキュア領域との筺体境界CBを跨いで配置される。または、表面パネル36は、筺体19の操作表示面21において、第1の情報処理部15の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部17の収容部分を含む第2の筐体領域との筺体境界CBを跨いで配置される。決済端末装置97の筐体19において、第2のタッチパネル35は、認証情報を入力する操作者から見て第1の情報処理部15よりも手前に収容され、操作表示面21の第1のタッチパネル31よりも手前に設けられる。これらの点については第1の実施形態における決済端末装置11と同様である。
この決済端末装置97では、第2の実施形態に係る決済端末装置93Bにも設けられている非セキュアLED101が、第1のタッチパネル31を挟んでセキュアLED99の反対側に設けられる。非セキュアLED101は、耐タンパ性を有しない非セキュアモードであることを示す非セキュア表示を行うセキュア状態表示部である。
決済端末装置97は、この非セキュアLED101の点灯状態を操作者に視認させることによって、第1のタッチパネル31に対する認証情報(PIN等)の入力についての安全性が非保証の領域であることを明示的に示す。操作者は、第1のタッチパネル31に対する認証情報の入力についての安全性が非保証の領域であることを認知し、第1のタッチパネル35に対する認証情報の入力を回避することができる。または、決済端末装置97は、非セキュアLED101の点灯状態を操作者に視認させることによって、非セキュアモードにおいては、認証情報(PIN等)の入力についての安全性が非保証であることを、操作者に対して明示的に示す。操作者は、非セキュアモードにおいては、認証情報(PIN等)の入力についての安全性が非保証であることを認知し、認証情報の入力を回避することができる。
そして、この決済端末装置97には、第2の実施形態の変形例に係る決済端末装置93Bと同様に、第2のタッチパネル35とセキュアLED99が、互いに隣接してまとまった状態で手前の位置に設けられる。セキュアLED95Bは、耐タンパ性を有するセキュアモードであることを示すセキュア表示を行うセキュア状態表示部であり、第1のタッチパネル31と第2のタッチパネル35との間の操作表示面21に配置される。本第3の実施形態における決済端末装置97の表面パネル36は、第2の実施形態の変形例における決済端末装置93Bと同様に、筺体19の操作表示面21において、さらにセキュアLED95Bを跨いで配置される。すなわちセキュアLED95Bは、第1のタッチパネル31および第2のタッチパネル35とともに、一つの表面パネル36で覆われる。
さらに決済端末装置97には、第1のタッチパネル31において第2のタッチパネル35に近接する側に、セキュアモードにおいてセキュアな内容が表示されるセキュア表示領域103が設けられる。そして表面パネル36は、第1のタッチパネル31の表示面におけるセキュア表示領域103と非セキュア表示領域105(その他の表示領域)との表示境界を跨いで配置される。決済端末装置97は、第1のタッチパネル31のセキュア表示領域103において、操作者に対して認証情報(PIN等)の入力を促す表示と、セキュアが保証された入力領域の位置を示す表示、とを操作者に視認させる。具体的にこのセキュア表示領域103には、例えば「暗証番号を入力して下さい。」等が表示される。決済端末装置97は、非セキュアな第1のタッチパネル31が備える広い表示面積の一部分をセキュアに使用することにより、第2のタッチパネル35がセキュアモードであることを示す表示の視認性を高めることができる。したがって操作者は、第1のユーザ・インタフェースにおいて、セキュアが保証された表示領域を備える部分と、それ以外の領域との境界を認識しながら、指または入力用のスタイラスペンなどをそれら2つの領域の間でスムーズに行き来させることができる。
したがって操作者は、双方の表示内容を視認しながら、第1のタッチパネル31と第2のタッチパネル35の間に設けられた溝、突起部またはセキュアLED99に、指または入力用のスタイラスペンなどを引っ掛けることなく、スムーズに行き来させることができる。それとともに、この決済端末装置97に対して、操作者またはセキュア入力/非セキュア入力の相違に応じて、快適な操作性が提供される。認証情報を入力する操作者は、第1のタッチパネル31、特にセキュア表示領域103に表示される情報を、認証情報を入力する手などに遮られることなく確認しながら、認証情報を入力することができる。先ほども述べたように、セキュア表示領域103には、暗証番号や署名などの認証情報の入力を操作者に促す表示、入力されたPINの数に応じた個数のアスタリスク(*)などの、PINの入力状況を示すマークが表示される。操作者は、認証情報を入力する手などに遮られることなくこれらの表示を確認しながら、認証情報を入力することができる。
それに加えて、第2のタッチパネル35とセキュアLED99が、第1のタッチパネル31と非セキュアLED101から位置的に分離される配置となることで、操作者は、セキュアであることが保証された入力領域であることを容易に認識でき、認証情報を安全に入力できる。すなわち操作者は、第2のタッチパネル35が、セキュアを保証された入力領域であることを容易に認識できる。そして操作者は、第1のタッチパネル31のうち表示境界DBよりも第2のタッチパネル35およびセキュアLED99に近い側の領域が、セキュアモードにおいてはセキュアを保証された表示領域であることを認識できる。
セキュア専用の第2のタッチパネル35における表示の背景色は、第1のタッチパネル31の非セキュア表示領域105における表示の背景色とは異なるものであってよい。第1のタッチパネル31のセキュア表示領域103における表示の背景色と、セキュア専用の第2のタッチパネル35における表示の背景色とは、同一色または同系色であってもよい。そして、第1のタッチパネル31のセキュア表示領域103における表示の背景色は、第1のタッチパネル31の非セキュア表示領域105における表示の背景色とは異なるものであってよい。決済端末装置97は、第1のタッチパネル31において、セキュアが保証された入力領域を備える部分と、それ以外の領域との境界を、操作者に対してさらに明示的に認識させることができる。
さらに、第1のタッチパネル31の非セキュア表示領域105とセキュア表示領域103との間にある破線を境に、決済端末装置97の筐体19の色(および表面処理)が異なってよい。筐体19の色または表面処理は、筐体19の少なくとも一部において、第1の情報処理部15と第2の情報処理部17との境界を境に異なってもよい。例えば、操作表示面21においては、第1の情報処理部15と第2の情報処理部17との境界を境に、第2の情報処理部17と第1の情報処理部15とは互いに異なる色または表面処理が施され、それ以外の部分(例えば背面)については同じ色または表面処理が施されてもよい。あるいは、操作表示面21において、セキュア表示領域103と非セキュア表示領域105との表示境界DBと、第1の情報処理部15の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部17の収容部分を含む第2の筐体領域との筺体境界CBとが、第1のタッチパネル31と第2のタッチパネル35との並び方向において、平行かつ異なる位置に配置されてもよい。そしてさらに、筺体境界CBとは別に、第1のタッチパネル31の非セキュア表示領域105とセキュア表示領域103との間にある表示境界DBの延長線上にある筐体19上の部位には、境界を示すための溝または線状の凸部が設けられてもよい。これらのことによっても、第1のタッチパネル31のセキュア表示領域103および第2のタッチパネル35が、操作者に対して認証情報(PIN等)の表示または入力の安全性を保証する領域であることを知らしめることができる。
すなわち、第1のタッチパネル31と第2のタッチパネル35の間に一つのセキュア状態表示部(非セキュアLEDまたはセキュアLED95、図4参照)が存在する配置に比べ、非セキュア、セキュアの区別がより明確となる。このように、決済端末装置97は、操作者に対して認証情報の入力の安全性を保証する領域であることを知らしめ、入力された認証情報をセキュアに処理することができる。さらに、第1のタッチパネル31の非セキュア表示領域105の広さを、第2のタッチパネル35のセキュア表示領域103の広さ(長さ、幅)に比べて広く確保することにより、第1のタッチパネル31において、アプリケーションからの表示の柔軟性、多様性を高めることができる。
決済端末装置97は、第1のタッチパネル31の第2のタッチパネル35に近接する側に、切り替え表示領域103Aを、先ほど述べたセキュア表示領域103の代わりに設けてもよい。切り替え表示領域103Aは、セキュアモードにおいてセキュア内容が表示され、非セキュアモードにおいて非セキュア内容が表示される領域である。そして、非セキュア表示領域105には、上記と同様に、セキュアモードまたは非セキュアモードのいずれにおいても非セキュア内容が表示される。非セキュアモードにおいては、切り替え表示領域103Aと非セキュア表示領域105とが併せて使用され、第1のタッチパネル31が汎用アプリケーションにより最大限に使用される。したがって、決済端末装置97における汎用アプリケーションの操作性および表示の視認性が向上する。そして、筺体19におけるセキュア/非セキュアの境界と、第1のタッチパネル31および第2のタッチパネル35におけるセキュア表示/非セキュア表示の境界との間にあるセキュアレベル不定領域のセキュアレベルは、動作モードによって変化する。セキュアレベル不定領域は、本第3の実施形態において第1のタッチパネル31の切り替え表示領域103Aである。そのことを決済端末装置は、操作者に視認させることができる。
筐体19の色または表面処理あるいはタッチパネルの背景表示色は、第1の情報処理部15と第2の情報処理部17との境界の他に、第1のタッチパネル31の切り替え表示領域103Aと非セキュア表示領域105との境界の延長上にある筐体19上の境界を境に異なってもよい。決済端末装置97は、セキュアモード/非セキュアモードのそれぞれにおいて、第1のタッチパネル31のセキュア性が保証された領域を備える部分とそれ以外の領域との境界を、操作者に対してさらに明示的に認識させることができる。または、第1のタッチパネル31の切り替え表示領域103Aの背景表示色は、セキュアモードにおいては第2のタッチパネルと同様であり、非セキュアモードにおいては第1のタッチパネル31の非セキュア表示領域105と同様であってもよい。操作者は、第1のタッチパネル31の非セキュア表示領域105、切り替え表示領域103A、第2の情報処理部17に設けられた第2のタッチパネル35の各セキュアレベルを、操作モードに応じて把握することができる。
以上、図7を用いて説明した第1のタッチパネル31のセキュア性が保証された表示領域であるセキュア表示領域103または切り替え表示領域103Aには、例えば図9に示すように、認証情報としての署名を入力するための署名欄が表示されてもよい。図9におけるセキュア表示領域103または切り替え表示領域103Aは、表示だけでなく入力についても、セキュアモードにおいてセキュア性が保証された表示入力領域である。
図10(A)は、表示面上にセキュア状態表示領域119が表示される第3の実施形態の変形例に係る決済端末装置121の正面図である。図10(B)は、図10(A)に示す決済端末装置121の側面図である。以下、第3の実施形態とは異なる部分を中心に説明する。その他の点については第3の実施形態と同様である。
決済端末装置121は、第1のタッチパネル31の第2のタッチパネル35に近接する側の表示面上に、セキュア表示領域103と、セキュアモードであることを示すセキュア表示(SECURED)又は非セキュアモードであることを示す非セキュア表示(NON SECURED)を切り替え表示するセキュア状態表示領域119と、を表示する。決済端末装置121は、セキュア状態表示領域119において、セキュアモードであることを示すセキュア表示(SECURED)が表示または非表示とするか、もしくは非セキュアモードであることを示す非セキュア表示(NON SECURED)を表示または非表示としてもよい。表面パネル36は、第2のタッチパネル35および第1のタッチパネル31の表示面におけるセキュア表示領域103とその他の領域105との表示境界を跨いで配置される。
この決済端末装置121では、第1のタッチパネル31の第2のタッチパネル35側の表示面上に、セキュア表示領域103と、セキュア状態表示領域119と、が表示される。すなわち決済端末装置121は、第1のタッチパネル31において、耐タンパ性を有するセキュアモードであることを示すセキュア表示と、耐タンパ性を有しない非セキュアモードであることを示す非セキュア表示の少なくともいずれかが表示されるセキュア状態表示領域119を、第2のタッチパネル35に近接する側にあるセキュア表示領域103に表示する。具体的に、セキュア表示領域103には、例えば「暗証番号を入力して下さい。」などの、認証情報の入力を促す内容が表示される。セキュア状態表示領域119には、例えば「SECURED」が表示される。第2の情報処理部17の第2のCPU75は、第1のタッチパネル31への表示制御権を常に握る(プロンプトコントロールする)ように構成される。
これにより、第1のタッチパネル31の第2のタッチパネル35に近接する側の表示面上で、セキュア又は非セキュアの表示が行われる。セキュアモード時のセキュア表示(SECURED)と、非セキュアモード時の非セキュア表示(NON SECURED)は、その少なくとも一方が必ず表示される。その結果、セキュア又は非セキュア専用の表示部(セキュアLED99、非セキュアLED101)が不要となり、セキュア又は非セキュアを表示するための構造を簡素にすることができる。そして決済端末装置121は、第3の実施の形態における決済端末装置97と比較して、同じ大きさの操作表示面21であれば、第1のタッチパネル31または第2のタッチパネル35の画面サイズを大きくすることができる。したがって決済端末装置121は、さらに快適な操作性/視認性を備えることができる。セキュア表示と非セキュア表示とが同じ箇所で切り替えて表示されるので、操作者が決済端末装置121のセキュア状態を把握する際に、視線移動などの余計な時間が低減される。
決済端末装置121は、認証情報の入力を促す内容と、セキュア表示とを、第1のタッチパネル31の表示面のうち、第2のタッチパネル35に近接する側の一部の表示面上に、交互に行ってもよい。決済端末装置121は、認証情報の入力を促す内容と、セキュア表示と、をそれぞれ大きく表示することができ、操作者の決済時における視認性がさらに向上する。あるいは、決済端末装置121は、認証情報の入力を促す内容と、セキュア表示と、をそれぞれ少ない面積で表示することができ、操作者の操作性がさらに向上する。
(第4の実施形態)
図11(A)は、第3のユーザ・インタフェースが設けられる第4の実施形態の決済端末装置123の正面図である。図11(B)は、図11(A)に示す決済端末装置123の側面図である。
決済端末装置123の筐体19の操作表示面21には、第1のユーザ・インタフェース、即ち第1のタッチパネル31が配置される第1開口部と、第2のユーザ・インタフェース、即ち第2のタッチパネル35が配置される第2開口部と、が形成される。そして、第1開口部と第2開口部とが形成された筐体19の操作表示面21は、光透過性を備えた一枚の表面パネル36(光透過部材)によって覆われる。表面パネル36は、筺体19の操作表示面21において、第2の情報処理部17の収容部分を含むセキュア領域と、第1の情報処理部15の収容部分の少なくとも一部を含む非セキュア領域との筺体境界CBを跨いで配置される。または、表面パネル36は、筺体19の操作表示面21において、第1の情報処理部15の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部17の収容部分を含む第2の筐体領域との筺体境界CBを跨いで配置される。決済端末装置93Bの筐体19において、第2のタッチパネル35は、認証情報を入力する操作者から見て第1の情報処理部15よりも手前に収容され、操作表示面21の第1のタッチパネル31よりも手前に設けられる。これらの点については第1の実施形態における決済端末装置11、他と同様である。
本実施形態に係る決済端末装置123は、第1のタッチパネル31と第2のタッチパネル35との間に、セキュア表示領域103を有する第3の入力表示部である第3のタッチパネル125が配置される。そして、表面パネル36はさらに、第3のタッチパネル125を跨いで配置される。第3のタッチパネル125は、第3の表示部127(図3参照)と、第3のタッチ入力検出部129とを含む構成である。第3の表示部127は、第3のタッチパネル125の表示を制御する機能を有する。第3のタッチ入力検出部129は、第3のタッチパネル125に対するタッチ入力を検出する機能を有する。
この決済端末装置123では、第2のタッチパネル35と第3のタッチパネル125が、手前に互いに隣接してまとまった位置で設けられる。それら第2のタッチパネル35と第3のタッチパネル125は、非セキュアな第1のタッチパネル31から位置的に分離される配置となる。このように、決済端末装置123では、第2のタッチパネル35と第3のユーザ・インタフェースが、グループ化されて、第1のタッチパネル31から分離される。これにより、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを、より明確に知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。また、非セキュア、セキュアの区別がより容易となることで、第1のタッチパネル31の非セキュア表示領域105を、第2のタッチパネル35のセキュア表示領域103の広さ(長さ、幅)に比べて広く確保することが可能となる。これにより、第1のタッチパネル31において、アプリケーションからの表示の柔軟性、多様性を高めることができる。
さらに、第3のタッチパネル125における表示の背景色は、第1のタッチパネル31における表示の背景色とは異なるものであってよい。そして、セキュア専用の第2のタッチパネル35における表示の背景色も、第1のタッチパネル31における表示の背景色とは異なるものであってよい。そしてさらに、第3のタッチパネル125における表示の背景色と、セキュア専用の第2のタッチパネル35における表示の背景色とは、同一色または同系色であってもよい。そしてさらに、第1のタッチパネル31と第3のタッチパネル125との間にある筺体境界CBを境に、決済端末装置123の筐体19の色(および表面処理)が異なってよい。筐体19の色または表面処理は、筐体19の少なくとも一部において、第1の情報処理部15と第2の情報処理部17との境界を境に異なってもよい。例えば、操作表示面21においては、第1の情報処理部15と第2の情報処理部17との境界を境に、第2の情報処理部17と第1の情報処理部15とは互いに異なる色または表面処理が施され、それ以外の部分(例えば背面)については同じ色または表面処理が施されてもよい。そしてさらに、第1のタッチパネル31と第3のタッチパネル125との間にある筺体境界CBの延長線上にある筐体19上の部位には、境界を示すための溝または線状の凸部が設けられてもよい。これらのことによっても、第2のタッチパネル35および第3のタッチパネル125が、操作者に対して認証情報(PIN等)の表示/入力の安全性を保証する領域であることを知らしめることができる。
またさらに、決済端末装置123は、第3のタッチパネル125をセキュア専用の表示領域とせず、セキュアモードにおいてセキュア内容が表示され、非セキュアモードにおいて非セキュア内容が表示される切り替え表示領域としてもよい。非セキュアモードにおいては、第1のタッチパネル31と第3のタッチパネル125とが、汎用アプリケーションにより最大限に使用される。したがって、決済端末装置123における汎用アプリケーションの操作性および表示の視認性が向上する。そしてセキュアモードにおいては、第2のタッチパネル35と第3のタッチパネル125とが併せて使用される。したがって、決済端末装置123における認証情報の入力において、その操作性および表示の視認性が向上する。さらに、筺体19におけるセキュア/非セキュアの境界と、第3のタッチパネル125と非セキュア表示専用である第1のタッチパネル31との境界との間にあるセキュアレベル不定領域のセキュアレベルは、動作モードによって変化する。セキュアレベル不定領域は、本第4の実施形態において第3のタッチパネル125である。そのことを決済端末装置は、操作者に視認させることができる。
筐体19の色または表面処理あるいはタッチパネルの背景表示色は、第1の情報処理部15と第2の情報処理部17との境界(すなわち第1のタッチパネル31と第3のタッチパネル125との間)の他に、第2のダッチパネル35と第3のタッチパネル125との間を境に異なってもよい。または、第3のタッチパネル125の背景表示色は、セキュアモードにおいては第2のタッチパネルと同様であり、非セキュアモードにおいては第1のタッチパネル31と同様であってもよい。決済端末装置123は、セキュアモード/非セキュアモードのそれぞれにおいて、セキュア性が保証された入力表示領域を備える部分とそれ以外の領域との境界を、操作者に対してさらに明示的に認識させることができる。操作者は、第1のタッチパネル31の非セキュア表示領域105、切り替え表示領域である第3のタッチパネル125および第2の情報処理部17に設けられた第2のタッチパネル35の各セキュアレベルを、操作モードに応じて把握することができる。
さらに、第2のタッチパネル35と第3のタッチパネル125との間に筺体境界を設け、その筺体境界を境に、決済端末装置123の筐体19の色(および表面処理)が異なってよい。筐体19の色または表面処理は、筐体19の少なくとも一部において、第1の情報処理部15と第2の情報処理部17との境界を境に異なってもよい。例えば、操作表示面21においては、第1の情報処理部15と第2の情報処理部17との境界を境に、第2の情報処理部17と第1の情報処理部15とは互いに異なる色または表面処理が施され、それ以外の部分(例えば背面)については同じ色または表面処理が施されてもよい。そしてさらに、第1のタッチパネル31と第3のタッチパネル125との間に表示境界を設け、その表示境界の延長線上にある筐体19上の部位には、筐体境界とは別に、表示境界を示すための溝または線状の凸部が設けられてもよい。これらのことによって、第3のタッチパネル125が、セキュアモードにおいては認証情報(PIN等)の表示/入力の安全性を保証する領域であることを、操作者に対して知らしめることができる。
図12(A)は、セキュアLED99と非セキュアLED101が設けられた第4の実施形態の変形例の決済端末装置131の正面図である。図12(B)は、図12(A)に示す決済端末装置131の側面図である。以下、第4の実施形態とは異なる部分についてのみ説明する。その他の点については第4の実施形態と同様である。
本変形例の決済端末装置131は、第3のタッチパネル125に加えて、さらにセキュアLED(セキュア状態表示部)99と非セキュアLED(セキュア状態表示部)101と、を備える。そして表面パネル36は、筺体19の操作表示面21において、これらのセキュア状態表示部を跨いで配置される。
この決済端末装置131によれば、第2のタッチパネル35とセキュアLED99が、手前に互いに隣接してまとまった位置で設けられる。第2のタッチパネル35とセキュアLED99が、第1のタッチパネル31と非セキュアLED101から位置的に分離される配置となることで、操作者は、セキュアであることが保証された入力領域であることを容易に認識でき、認証情報を安全に入力できる。すなわち、非セキュア、セキュアの区別がより明確となる。
したがって操作者は、各タッチパネルの表示内容を視認しながら、第1のタッチパネル31と第3のタッチパネル125の間に設けられた溝、突起部またはセキュアLED99に、指または入力用のスタイラスペンなどを引っ掛けることなく、スムーズに行き来させることができる。それとともにこの決済端末装置131によれば、操作者またはセキュア入力/非セキュア入力の相違に応じて、快適な操作性が提供される。認証情報を入力する操作者は、第1のタッチパネル31および第3のタッチパネル125に表示される情報を、認証情報を入力する手などに遮られることなく確認しながら、認証情報を入力することができる。先ほども述べたように、第3のタッチパネル125には、暗証番号や署名などの認証情報の入力を操作者に促す表示、入力されたPINの数に応じた個数のアスタリスク(*)などの、PINの入力状況を示すマークが表示される。操作者は、認証情報を入力する手などに遮られることなくこれらの表示を確認しながら、認証情報を入力することができる。
それに加えて、第2のタッチパネル35とセキュアLED99が、第1のタッチパネル31と非セキュアLED101から位置的に分離される配置となることで、操作者は、セキュアであることが保証された入力領域であることを容易に認識でき、認証情報を安全に入力できる。すなわち操作者は、第2のタッチパネル35と、第3のタッチパネル125とが、少なくともセキュアモードにおいてはセキュアを保証された入力領域であることを容易に認識できる。
決済端末装置123または131は、セキュアLED99と非セキュアLED101が設けられる代わりに、セキュア状態表示領域(すなわち「SECURED」「NON−SECURED」表示)が第3のタッチパネル125に表示される構成としてもよい。第3のタッチパネル125には、例えば「暗証番号を入力して下さい。」などの、認証情報の入力を促す内容も、セキュア状態表示とともに表示される。第2の情報処理部17の第2のCPU75は、第3のタッチパネル125への表示制御権を常に握る(プロンプトコントロールする)ように構成される。
これにより、第3のタッチパネル125において、セキュア又は非セキュアの表示が行われる。セキュアモード時のセキュア表示(SECURED)と、非セキュアモード時の非セキュア表示(NON SECURED)は、その少なくとも一方が必ず表示される。その結果、セキュア又は非セキュア専用の表示部(セキュアLED99、非セキュアLED101)が不要となり、セキュア又は非セキュアを表示するための構造を簡素にすることができる。そして決済端末装置123または131は、同じ大きさの操作表示面21であれば、第1のタッチパネル31、第2のタッチパネル35または第3のタッチパネル125のいずれかの画面サイズを大きくすることができる。したがって決済端末装置123または131は、さらに快適な操作性/視認性を備えることができる。セキュア表示と非セキュア表示とが同じ箇所で切り替えて表示されるので、操作者が決済端末装置123または131のセキュア状態を把握する際に、視線移動などの余計な時間が低減される。
決済端末装置123または131は、認証情報の入力を促す内容と、セキュア表示とを、第3のタッチパネル125に、交互に行ってもよい。決済端末装置123または131は、認証情報の入力を促す内容と、セキュア表示と、をそれぞれ大きく表示することができ、操作者の決済時における視認性がさらに向上する。あるいは、決済端末装置123または131は、認証情報の入力を促す内容と、セキュア表示と、をそれぞれ少ない面積で表示することができ、操作者の操作性がさらに向上する。
以上、図11または図12を用いて説明した第3のダッチパネル125には、例えば図13に示すように、認証情報としての署名を入力するための署名欄が表示されてもよい。図13における第3のダッチパネル125は、表示だけでなく入力についても、セキュアモードにおいてセキュア性が保証された表示入力領域である。
(第5の実施形態)
図14は、第5の実施形態に係るサービス提供者140の操作状況を決済端末装置141の表面側から見た動作説明図である。図15は、第5の実施形態に係るサービス提供者140が決済端末装置141の第1のユーザ・インタフェース(第1のタッチパネル31)を挟んで第2のユーザ・インタフェース(第2のタッチパネル35)とは反対側の筐体端部を持ち、サービス享受者142が第2のユーザ・インタフェース(第2のタッチパネル35)を操作する状況を表す動作説明図である。
決済端末装置141は、携帯性を備える。入力キー71が省かれている点を除けば、決済端末装置141は、第1の実施形態に係る決済端末装置11と同様の構成を備える。決済端末141は、第2〜第4の実施形態に係る決済端末装置のいずれかの構成であってもよいし、それらを応用した構成であってもよい。
サービス提供者140は、例えば、決済処理において、認証情報(例えばPIN、署名)を入力する段階となるまで、図14に示すように、第2のタッチパネル35が第1のタッチパネル31よりも手前側となる向きで決済端末装置141を持つ。また、サービス提供者140は、例えば、第1のタッチパネル31が備える第1のタッチ入力検出部47(図3参照)を用いて、商品情報、決済方法、支払金額、支払回数等を入力する。この段階では、例えば、磁気カードを磁気カードリーダ部25に通し、又は、非接触型ICカードを非接触型ICカードリーダライタ部133に接続されるアンテナ135の直上にかざす。
決済処理におけるここまでの段階において、商品情報、決済方法、支払金額、支払回数等の入力/表示およびカードの読み取りを促す表示は、非セキュアな第1のタッチパネル31を用いて行われる。カードの読み取りおよび商品情報、決済方法、支払金額、支払回数等の入力が終了すると、認証情報を入力するタイミングとなる。認証情報を入力するまでの段階においては、サービスの提供者140が決済端末装置141の操作者である。認証情報を入力する段階になると、決済を行う者、すなわちサービス享受者142が決済端末装置141の操作者となる。
認証情報を入力する段階では、サービス提供者140は、図15に示すように、例えば第1のタッチパネル31を挟んで第2のタッチパネル35とは反対側の筐体端部を持って、決済端末装置141の第2のタッチパネル35側をサービス享受者142側に向ける。決済端末装置141は、第2のタッチパネル35が、サービス享受者142側から見て第1のタッチパネル31よりも手前側になる。決済端末装置141の筐体19において、第2のタッチパネル35は、認証情報を入力する操作者、すなわちサービス享受者142から見て第1の情報処理部15よりも手前に収容され、操作表示面21の第1のタッチパネル31よりも手前に設けられる。この構成により、PINPADまたは署名欄などの認証情報の入力画面が表示される第2のタッチパネル35が、認証情報を入力する操作者から見て、第1のタッチパネル31より近い位置に配置される。したがってこの決済端末装置141によれば、操作者またはセキュア入力/非セキュア入力の相違に応じて、快適な操作性が提供される。サービス享受者142(認証情報を入力する操作者)は、第1のタッチパネル31に表示される情報を、認証情報を入力する手などに遮られることなく確認しながら、認証情報を入力することができる。その段階では、認証情報の入力/表示のセキュア性が担保される。
それに加えて、サービス享受者142による認証情報の入力中においては、サービス提供者140が、決済端末装置141のセキュアな第2のタッチパネル35とは反対側に位置する、非セキュアな第1のタッチパネル31側の筐体端部を把持して、サービス享受者142の入力をサポートする。よって、サービス享受者142による認証情報の入力が安定して行われる。
さらに、サービス提供者140が操作する各種の業務アプリケーション・ソフトウェアは、汎用プラットフォームを用いた第1の情報処理部15上で動作する。よって、決済端末装置141が新たに設計された端末装置に置き換えられる際には、それらのソフトウェア資産の流用が容易であり、開発工数が削減される。そして、汎用プラットフォームを用いた第1の情報処理部15により制御される第1のタッチパネル31(非セキュア表示領域)は、セキュアな表示を行う第2のタッチパネル35(セキュア表示領域)よりも大きな表示面積を有する。したがって、汎用プラットフォーム上で動作する業務アプリケーション・ソフトウェアによる多様な表示形態に対応可能である。
決済端末装置141では、非接触型ICカードリーダライタ部133が「セキュア」な第2の情報処理部17に配置される。磁気カードリーダ部25のカードスロット27は、「セキュア」又は「非セキュア」な第1の情報処理部15に配置される。決済端末装置141では、第1のタッチパネル31を挟んで第2のタッチパネル35とは反対側の筐体端部を持って、第2のタッチパネル35をサービス享受者142側に向けた場合、第2のタッチパネル35とは反対側の筐体端部を持つ親指143が指置面144に配置される。親指143が指置面144に収まる場合、親指143は、第1のタッチパネル31にかからない。つまり、親指143が第1のタッチパネル31をタッチしない。これにより、不用意に第1のタッチパネル31に触れて誤操作することを抑制できる。
図14および図15には図示していないが、第2のタッチパネル35が設けられた第2の情報処理部17を含む第2のセキュア領域は、第1の情報処理部15の少なくとも一部を含む第1の非セキュア領域とは異なる色(および表面処理)の筐体19を備えてもよい。または、セキュア専用の第2のタッチパネル35における表示の背景色は、第1の情報処理部15に設けられた第1のタッチパネル31における非セキュア領域の表示の背景色とは異なるものであってもよい。これらの点は、先の示した他の実施形態における図1、図2、図4、図7、図9、図10または図11についての説明と同様である。
このように、決済端末装置11によれば、セキュリティを確保でき、サービス提供者140が持ち易くでき、サービス享受者142が決済操作し易くできる。
本発明に係る情報処理装置である決済端末装置は、操作者に把持される筐体に収容され、筐体の一面に第1のユーザ・インタフェースが設けられた第1の情報処理部と、筐体に収容され、筐体の一面にセキュアな操作が可能な耐タンパ性を有する第2のユーザ・インタフェースが設けられたセキュアな第2の情報処理部と、第1のユーザ・インタフェースの表面と前記第2のユーザ・インタフェースの表面とを覆って配置される一つの光透過部材と、を備える。
この決済端末装置によれば、その筺体は、第1のユーザ・インタフェースおよび第2のユーザ・インタフェースが設けられた面全体を覆って配置される一枚板の光透過部材により堅牢性(耐落下衝撃性)を備えることができる。そして決済端末装置は、操作者の指または入力用のスタイラスペンなどが、セキュアな第2のユーザ・インタフェースと、例えば非セキュアな第1のユーザ・インタフェースとの間を行き来する際のスムーズで快適な操作性を備えることができる。(上記第1および第2のユーザ・インタフェースは、例えばタッチパネルなどの入力部または表示部のいずれかを備えるものである。)さらには、セキュア部と非セキュア部とに物理的な連続性が生まれ、外観的にも一体感を有し、デザイン性に優れた情報処理装置(取引端末装置)が提供される。

また、決済端末装置は、光透過部材が、筺体の一面において、第2の情報処理部の収容部分を含むセキュア領域と、第1の情報処理部の収容部分の少なくとも一部を含む非セキュア領域との筺体境界を跨いで配置される。
この決済端末装置によれば、操作者は、筺体においてセキュアが保証された入力領域を備える部分と、それ以外の領域との境界を明示的に認識しながら、指または入力用のスタイラスペンなどをそれら2つの領域の間で行き来させることができる。
また、決済端末装置は、耐タンパ性を有するセキュアモードであることを示すセキュア表示と、耐タンパ性を有しない非セキュアモードであることを示す非セキュア表示の少なくともいずれかを行うセキュア状態表示部が、第1のユーザ・インタフェースと第2のユーザ・インタフェースとの間に配置され、光透過部材は、筺体の一面において、セキュア状態表示部を跨いで配置される。
この決済端末装置によれば、セキュア状態表示部が、セキュアな第2のユーザ・インタフェースと共に、手前に互いに隣接してまとまった位置で設けられ、第1のユーザ・インタフェースおよび第2のユーザ・インタフェースとともに、一つの光透過部材で覆われる。決済端末装置は、近傍に配置したセキュア状態表示部の点灯/非点灯状態を操作者に視認させることによって、第2のユーザ・インタフェースが認証情報(PIN等)の入力の安全性を保証する領域であることを、操作者に対して明示的または暗示的に示す。したがって操作者は、第2のユーザ・インタフェースが認証情報を入力するための安全性を保証する領域であることを明示的に認知し、セキュアが保証された第2のユーザ・インタフェースに対して認証情報の安全な入力を確実に行うことができる。さらに操作者は、指または入力用のスタイラスペンなどをセキュア状態表示部に引っ掛けることなく、セキュアな第2のユーザ・インタフェースと、例えば非セキュアな第1のユーザ・インタフェースとの間をスムーズに行き来させることができる。
また、決済端末装置は、第1のユーザ・インタフェースにおいて第2のユーザ・インタフェースに近接する側に、セキュアモードにおいてセキュアな表示が可能なセキュア表示領域が設けられ、光透過部材は、セキュア表示領域とその他の表示領域との境界を跨いで配置される。
この決済端末装置によれば、第2の情報処理部が第1のユーザ・インタフェースへの表示制御権を常に管理するように構成される。そして決済端末装置は、第1のユーザ・インタフェースのセキュア表示領域において、操作者に対して認証情報(PIN等)の入力を促す表示と、セキュアが保証された入力領域の位置を示す表示と、を操作者に視認させる。したがって操作者は、第1のユーザ・インタフェースにおいて、セキュアが保証された入力領域を備える部分と、それ以外の領域との境界を認識しながら、指または入力用のスタイラスペンなどをそれら2つの領域の間でスムーズに行き来させることができる。
また、決済端末装置は、第1のユーザ・インタフェースのセキュア領域とその他の領域とが互いに異なる背景を表示する。
この情報処理装置によれば、第1のユーザ・インタフェースにおいて、セキュアが保証された領域を備える部分と、それ以外の領域との境界を、操作者に対してさらに明示的に認識させることができる。
また、決済端末装置は、第1のユーザ・インタフェースにおいて、セキュアモードにおいてセキュアな内容が表示され、非セキュアモードにおいて非セキュアな内容が表示される切り替え表示領域が、セキュアモードおよび非セキュアモードのいずれにおいても非セキュアな内容が表示される非セキュア表示領域に対して、第2のユーザ・インタフェースに近接する側に設けられる。
この決済端末装置によれば、第2の情報処理部が第1のユーザ・インタフェースへの表示制御権を常に管理するように構成される。そして決済端末装置は、第1のユーザ・インタフェースの切り替え表示領域が、セキュアモードにおいては認証情報(PIN等)の入力を促す表示の安全性を保証する領域であることを操作者に視認させる。操作者は、セキュアモードにおいて、第1のユーザ・インタフェースの切り替え表示領域とそれ以外の領域との境界を認識しながら、指または入力用のスタイラスペンなどをそれら2つの領域の間でスムーズに行き来させることができる。そして操作者は、非セキュアモードにおける第1のユーザ・インタフェース全体が非セキュアな入力領域であることを認知する。非セキュアモードにおいて、操作者は、指または入力用のスタイラスペンなどを、セキュアな第2のユーザ・インタフェースと、例えば非セキュアな第1のユーザ・インタフェースとの間をスムーズに行き来させることができる。
また、本決済端末装置は、非セキュアモードにおいては切り替え表示領域と非セキュア表示領域とが同一の背景を表示し、セキュアモードにおいては切り替え表示領域と非セキュア表示領域とが互いに異なる背景を表示する。
この決済端末装置によれば、セキュアモード/非セキュアモードのそれぞれにおいて、第1のユーザ・インタフェースのセキュア性が保証された領域とそれ以外の領域との境界を、操作者に対してさらに明示的に認識させることができる。
また、決済端末装置は、光透過部材が、筺体の操作表示面において、第1の情報処理部の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部の収容部分を含む第2の筐体領域との筺体境界を跨いで配置される。
この決済端末装置によれば、セキュア領域と非セキュア領域との筺体境界が、第1のユーザ・インタフェースおよび第2のユーザ・インタフェースとともに、一つの光透過部材で覆われる。筺体は、筺体境界を境に、例えば異なる色を有し、または異なる表面処理が施される。そして、筺体境界には、溝または凸部が設けられてもよい。光透過部材は、そのような溝または凸部を覆って配置される。決済端末装置は、第2のユーザ・インタフェースが、認証情報(PIN等)の入力の安全性を保証する領域であることを、近傍に配置した筺体境界を操作者に視認させることで、明示的に認知させることができる。操作者は、操作中において指または入力用のスタイラスペンなどを、筺体境界を跨いでセキュア表示領域と非セキュア表示領域との間を行き来させることができる。
また、決済端末装置は、第1のユーザ・インタフェースにおいて、耐タンパ性を有するセキュアモードであることを示すセキュア表示と、耐タンパ性を有しない非セキュアモードであることを示す非セキュア表示の少なくともいずれかが表示されるセキュア状態表示領域を、第2のユーザ・インタフェースに近接する側に備える。
この決済端末装置によれば、セキュアモードにおいて、第2のユーザ・インタフェースに対する認証情報の入力が安全であることを、操作者に対して、さらに明示的に認識させることができる。
また、決済端末装置は、第1のユーザ・インタフェースと第2のユーザ・インタフェースとの間に、セキュアな入力または表示が可能な第3のユーザ・インタフェースが配置され、光透過部材は、第3のユーザ・インタフェースを跨いで配置される。
この決済端末装置によれば、第2のユーザ・インタフェースと第3のユーザ・インタフェースとが、手前に互いに隣接してまとまった位置で設けられ、第3のユーザ・インタフェースが、第1のユーザ・インタフェースおよび第2のユーザ・インタフェースとともに、一つの光透過部材で覆われる。それら第2のユーザ・インタフェースと第3のユーザ・インタフェースとは、非セキュアな第1のユーザ・インタフェースから位置的に分離され、グループ化されて、第1のユーザ・インタフェースから分離される。したがって決済端末装置は、第2のユーザ・インタフェースが、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを、より明確に知らしめることができる。そして操作者は、操作中において指または入力用のスタイラスペンなどを、第1のユーザ・インタフェース、第2のユーザ・インタフェースおよび第3のユーザ・インタフェースを跨いで、スムーズに行き来させることができる。
また、決済端末装置は、光透過部材が、筺体の操作表示面において、第1の情報処理部の収容部分の少なくとも一部を含む第1の筐体領域と、第2の情報処理部の収容部分を含む第2の筐体領域との筺体境界を跨いで配置され、第1のユーザ・インタフェースおよび第2のユーザ・インタフェースにおけるセキュア表示領域と非セキュア領域との表示境界と、第1の筐体領域と第2の筐体領域との筺体境界とが、少なくとも一部の動作モードにおいて、第1のユーザ・インタフェースと第2のユーザ・インタフェースとの並び方向の異なる位置に配置される。
この決済端末装置によれば、第2の情報処理部の収容部分を含むセキュア領域が常に、認証情報(PIN等)の入力の安全性を保証する領域であることを、操作者に視認させることができる。そして、筐体におけるセキュア/非セキュアの境界と、操作表示面におけるセキュア表示/非セキュア表示の境界との間にあるセキュアレベル不定領域のセキュアレベルは、動作モードによって変化する。そのことを決済端末装置は、操作者に視認させることができる。
以上、図面を参照して各種の実施形態について説明したが、本開示はかかる例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本開示の技術的範囲に属するものと了解される。
11、93、97、121,123、131 決済端末装置
15 第1の情報処理部
17 第2の情報処理部
19 筐体
21 操作表示面
25 磁気カードリーダ部
31 第1のタッチパネル(第1のユーザ・インタフェース)
35 第2のタッチパネル(第2のユーザ・インタフェース)
36 表面パネル(光透過部材)
95A、101 非セキュアLED(セキュア状態表示部)
95B、99 セキュアLED(セキュア状態表示部)
103 セキュア表示領域
103A 切り替え表示領域
105 非セキュア表示領域(その他の表示領域)
119 セキュア状態表示領域(セキュア状態表示部)
125 第3のタッチパネル(第3のユーザ・インタフェース)

Claims (11)

  1. 操作者に把持される筐体に収容され、前記筐体の一面に決済に関する非セキュアな内容としての金額表示及び操作入力を可能とする第1のユーザ・インタフェースが設けられた第1の情報処理部と、
    前記筐体に収容され、前記第1のユーザ・インタフェースが設けられた前記筐体の一面にセキュアな操作が可能な耐タンパ性を有する第2のユーザ・インタフェースが設けられたセキュアな第2の情報処理部と、
    前記第1のユーザ・インタフェースの表面と前記第2のユーザ・インタフェースの表面とを覆って配置される一つの光透過部材と、を備え、
    前記第1のユーザ・インタフェースは、少なくともその一部で前記決済に関する金額を表示し非セキュアな入力操作が可能な非セキュア操作領域を有し、
    前記光透過部材は、前記非セキュア操作領域と、少なくとも前記第2のユーザ・インタフェースを含み前記決済に用いられる認証情報の入力及び前記認証情報の入力を可能とする表示を行うセキュア操作領域と、の境界を跨いで配置される決済端末装置。
  2. 請求項1に記載の決済端末装置であって、
    前記筐体に収容されカードに記憶された情報を読み取るカード読取部と、前記カードの前記カード読取部への挿入口と、をさらに備え、
    前記挿入口は、前記光透過部材の配置面と、前記光透過部材の配置面と対向して前記筐体に設けられる背面とを接続する側面に設けられる決済端末装置。
  3. 請求項1に記載の決済端末装置であって、
    前記光透過部材は、前記筺体の一面において、前記第2の情報処理部の収容部分を含むセキュア領域と、前記第1の情報処理部の収容部分の少なくとも一部を含む非セキュア領域との筺体境界を跨いで配置される決済端末装置。
  4. 請求項1に記載の決済端末装置であって、
    耐タンパ性を有するセキュアモードであることを示すセキュア表示と、耐タンパ性を有しない非セキュアモードであることを示す非セキュア表示の少なくともいずれかを行うセキュア状態表示部が、前記筺体の一面において、前記第1のユーザ・インタフェースと前記第2のユーザ・インタフェースとの間に配置され、
    前記光透過部材は、前記筺体の一面において、前記セキュア状態表示部を跨いで配置される決済端末装置。
  5. 請求項4に記載の決済端末装置であって、
    前記第1のユーザ・インタフェースにおいて前記第2のユーザ・インタフェースに近接する側に、前記セキュアモードにおいてセキュアな表示が可能なセキュア表示領域が設けられ、
    前記光透過部材は、前記セキュア表示領域とその他の表示領域との境界を跨いで配置される決済端末装置。
  6. 請求項5に記載の決済端末装置であって、
    前記第1のユーザ・インタフェースの前記セキュア表示領域とその他の領域とが互いに異なる背景を表示する決済端末装置。
  7. 請求項4に記載の決済端末装置であって、
    前記第1のユーザ・インタフェースにおいて、前記セキュアモードにおいてセキュアな内容が表示され、前記非セキュアモードにおいて非セキュアな内容が表示される切り替え表示領域が、前記セキュアモードおよび前記非セキュアモードのいずれにおいても非セキュアな内容が表示される非セキュア表示領域に対して前記第2のユーザ・インタフェースに近接する側に設けられる、決済端末装置。
  8. 請求項7に記載の決済端末装置であって、
    前記非セキュアモードにおいては前記切り替え表示領域と前記非セキュア表示領域とが同一の背景を表示し、前記セキュアモードにおいては前記切り替え表示領域と前記非セキュア表示領域とが互いに異なる背景を表示する決済端末装置。
  9. 請求項1に記載の決済端末装置であって、
    前記第1のユーザ・インタフェースにおいて、
    耐タンパ性を有するセキュアモードであることを示すセキュア表示と、耐タンパ性を有しない非セキュアモードであることを示す非セキュア表示の少なくともいずれかが表示されるセキュア状態表示領域を、前記第2のユーザ・インタフェースに近接する側に備える決済端末装置。
  10. 請求項1に記載の決済端末装置であって、
    前記第1のユーザ・インタフェースと前記第2のユーザ・インタフェースとの間に、セキュア内容が表示されるセキュア表示領域を有する第3の入力表示部が配置され、
    前記光透過部材は、前記第3の入力表示部を跨いで配置される決済端末装置。
  11. 請求項1に記載の決済端末装置であって、
    前記光透過部材は、前記筺体の操作表示面において、前記第1の情報処理部の収容部分の少なくとも一部を含む第1の筐体領域と、前記第2の情報処理部の収容部分を含む第2の筐体領域との筺体境界を跨いで配置され、
    前記第1のユーザ・インタフェースおよび前記第2のユーザ・インタフェースにおけるセキュア表示領域と非セキュア表示領域との表示境界と、前記第1の筐体領域と前記第2の筐体領域との筺体境界とが、少なくとも一部の動作モードにおいて、前記第1のユーザ・インタフェースと前記第2のユーザ・インタフェースとの並び方向の異なる位置に配置される決済端末装置。
JP2014109796A 2014-05-28 2014-05-28 決済端末装置 Active JP5810329B1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014109796A JP5810329B1 (ja) 2014-05-28 2014-05-28 決済端末装置
US15/304,893 US10657514B2 (en) 2014-05-28 2015-05-25 Settlement terminal device
PCT/JP2015/002615 WO2015182104A1 (ja) 2014-05-28 2015-05-25 決済端末装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014109796A JP5810329B1 (ja) 2014-05-28 2014-05-28 決済端末装置

Publications (2)

Publication Number Publication Date
JP5810329B1 true JP5810329B1 (ja) 2015-11-11
JP2015226183A JP2015226183A (ja) 2015-12-14

Family

ID=54550472

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014109796A Active JP5810329B1 (ja) 2014-05-28 2014-05-28 決済端末装置

Country Status (3)

Country Link
US (1) US10657514B2 (ja)
JP (1) JP5810329B1 (ja)
WO (1) WO2015182104A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6725246B2 (ja) * 2015-12-25 2020-07-15 東芝テック株式会社 カード読取装置、決済端末及びカード読取装置の制御プログラム
JP6957684B2 (ja) * 2015-12-25 2021-11-02 東芝テック株式会社 カード読取装置、決済端末及びカード読取装置の制御プログラム
JP7280682B2 (ja) 2018-10-24 2023-05-24 東芝テック株式会社 サイン入力装置、決済端末、プログラム、サイン入力方法
US11334662B2 (en) * 2020-07-14 2022-05-17 Bank Of America Corporation Tamper-evident travel devices equipped with secure re-image file (s)
US20220300667A1 (en) * 2021-03-09 2022-09-22 Hub data security Ltd. Hardware User Interface Firewall

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0218608A (ja) 1988-07-07 1990-01-22 Toshiba Corp 携帯形機器用ケース
JPH06290016A (ja) * 1993-03-31 1994-10-18 Fujitsu Ltd 対面応対用ディスプレイ装置及びその制御方法
WO1999056199A1 (fr) * 1998-04-24 1999-11-04 Nissha Printing Co., Ltd. Ecran tactile
US6630928B1 (en) * 1999-10-01 2003-10-07 Hewlett-Packard Development Company, L.P. Method and apparatus for touch screen data entry
US7348964B1 (en) * 2001-05-22 2008-03-25 Palm, Inc. Single-piece top surface display layer and integrated front cover for an electronic device
US6965375B1 (en) * 2001-04-27 2005-11-15 Palm, Inc. Compact integrated touch panel display for a handheld device
JP4763163B2 (ja) * 2001-06-27 2011-08-31 富士通フロンテック株式会社 取引端末装置
US20040024710A1 (en) * 2002-03-07 2004-02-05 Llavanya Fernando Secure input pad partition
EP1553518B1 (en) 2002-08-16 2013-05-01 Fujitsu Frontech Limited Transaction terminal unit and transaction terminal control method
JP2006053678A (ja) * 2004-08-10 2006-02-23 Toshiba Corp ユニバーサルヒューマンインタフェースを有する電子機器
KR100690726B1 (ko) * 2004-09-14 2007-03-09 엘지전자 주식회사 멀티태스킹이 구현된 휴대 단말기와 그 제어 방법
US8265034B2 (en) * 2006-05-17 2012-09-11 Research In Motion Limited Method and system for a signaling connection release indication
US8261064B2 (en) * 2007-02-27 2012-09-04 L-3 Communications Corporation Integrated secure and non-secure display for a handheld communications device
KR101320504B1 (ko) * 2007-07-10 2013-10-22 엘지전자 주식회사 휴대 단말기
JP2009163672A (ja) * 2008-01-10 2009-07-23 Mitsubishi Electric Corp 表示装置
GB2459097B (en) * 2008-04-08 2012-03-28 Advanced Risc Mach Ltd A method and apparatus for processing and displaying secure and non-secure data
US20100145854A1 (en) 2008-12-08 2010-06-10 Motorola, Inc. System and method to enable a secure environment for trusted and untrusted processes to share the same hardware
DE102009022222A1 (de) * 2009-05-20 2010-11-25 Giesecke & Devrient Gmbh Anordnung zur Anzeige von Informationen, Verfahren zur Anzeige von Informationen und elektronische Endgeräteeinrichhtung
JP4656458B1 (ja) 2009-11-09 2011-03-23 Necインフロンティア株式会社 ハンディターミナル、及びハンディターミナルによる決済方法
US8365985B1 (en) 2010-04-12 2013-02-05 Diebold Self-Service Systems Division Of Diebold, Incorporated Banking system controlled responsive to data bearing records
FR2959382B1 (fr) * 2010-04-21 2022-01-28 Valeo Systemes Thermiques Interface homme-machine a boitier renforce
US9183373B2 (en) * 2011-05-27 2015-11-10 Qualcomm Incorporated Secure input via a touchscreen
KR102108118B1 (ko) * 2013-05-13 2020-05-11 삼성전자주식회사 커버장치를 구비하는 휴대용 단말기
US9183401B2 (en) * 2013-07-09 2015-11-10 Google Inc. Systems and methods for securing protected content
JP5776007B1 (ja) * 2014-03-10 2015-09-09 パナソニックIpマネジメント株式会社 決済端末装置、決済処理方法、決済処理プログラム、及び記録媒体
JP5861069B2 (ja) * 2014-03-27 2016-02-16 パナソニックIpマネジメント株式会社 可搬型決済端末装置
JP5685739B1 (ja) 2014-05-08 2015-03-18 パナソニックIpマネジメント株式会社 可搬型決済端末装置
JP2015215687A (ja) 2014-05-08 2015-12-03 パナソニックIpマネジメント株式会社 可搬型決済端末装置

Also Published As

Publication number Publication date
US20170140364A1 (en) 2017-05-18
US10657514B2 (en) 2020-05-19
WO2015182104A1 (ja) 2015-12-03
JP2015226183A (ja) 2015-12-14

Similar Documents

Publication Publication Date Title
JP2015215687A (ja) 可搬型決済端末装置
JP5861069B2 (ja) 可搬型決済端末装置
JP5685739B1 (ja) 可搬型決済端末装置
US9760739B2 (en) Information processing device
US20150161601A1 (en) Mobile payment terminal device
JP5810329B1 (ja) 決済端末装置
JP5776007B1 (ja) 決済端末装置、決済処理方法、決済処理プログラム、及び記録媒体
JP5861070B1 (ja) 取引端末装置、情報処理方法、情報処理プログラム、及び記録媒体
JP2015171105A (ja) 決済端末装置
US9639840B2 (en) Information processing device and information processing method
JP2017117056A (ja) 取引端末装置および情報入力装置
EP3423984B1 (en) Secure display device
JP6245560B2 (ja) 決済端末装置
JP2015114789A (ja) 情報処理方法、情報処理装置、及びコンピュータ・プログラム
JP6153036B2 (ja) 情報処理システム、情報処理方法、前記情報処理システムのコンピュータ・プログラムおよびそのコンピュータ・プログラムを記録した記録媒体
JP2015114791A (ja) 可搬型決済端末装置
JP5830693B2 (ja) 決済端末装置
JP6454175B2 (ja) 可搬型決済端末装置
JP2015114788A (ja) 決済端末装置
JP5736549B1 (ja) 情報処理装置及び情報処理方法
JP5620599B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び記録媒体
JP2016062109A (ja) 情報処理装置及び表示切替方法

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20141202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150407

R151 Written notification of patent or utility model registration

Ref document number: 5810329

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151