WO2012140830A1

WO2012140830A1 - 自動取引装置、生体認証ユニット、及び生体認証方法

Info

Publication number: WO2012140830A1
Application number: PCT/JP2012/001622
Authority: WO
Inventors: 敏則藤岡
Original assignee: 日立オムロンターミナルソリューションズ株式会社
Priority date: 2011-04-11
Filing date: 2012-03-09
Publication date: 2012-10-18
Also published as: JP2012221266A; CN102737451A; CN102831724A; CN102831724B; CN102737451B; JP5629633B2

Abstract

生体情報の登録時に指のセット方法を忘れたり、適切でない状態で登録された等の恒久的な登録時不良要因や、指が傷付いていたり、指に異物や汚れが付着していた等の一時的な本人要因により認証失敗したときは、再認証を行ったとしても認証失敗と判断される可能性が高い。一致度が低い推定要因と指のセット方法の改善案を実施しても生体情報の一致度が十分でない場合、改善しない要因が登録時不良要因のときは、生体情報の登録時に利用者が提示した本人確認資料を照合した上で、生体情報の再登録及び取引処理を行う。一方、改善しない要因が一時的な本人要因である場合は、その時点では解決できないので、本人確認資料を読み取って照合確認の上、制限取引に移行する。

Description

自動取引装置、生体認証ユニット、及び生体認証方法

　本発明は、自動取引装置、生体認証を行う生体認証ユニット、及び生体認証方法に関する。

　金融機関では、自動取引装置（以下、ＡＴＭ）での取引における本人確認の方法として、指紋、虹彩、指静脈などの生体情報を用いる生体認証が利用されている。生体認証はセキュリティ性の高い方法であるが、利用者本人の認証に失敗し、取引ができない場合がある。

　上記の対応策として、特許文献１に記載された生体認証システムの場合、生体情報の一致度が十分でないときは、当該一致度の高さに応じて、限度額や回数を一部制限した取引（以下、制限取引という）を行う。また、特許文献２に記載された生体認証システムの場合、生体情報の一致度が十分でないときは、その要因と指のセット方法（置き方、位置など）の改善案をガイダンス表示し、利用者が指を置き直してから再認証を行うことにより、生体認証の成功率を向上させている。

特開２００７－０４８１１８号公報特開２００９－００９４３４号公報

　しかし、従来の生体認証システムの場合、生体情報の一致度のリアルタイムな変化や、適切な改善策が把握できなかった。また、生体情報の登録時に指のセット方法を忘れたり、適切でない状態で登録された等の要因（恒久的な登録時不良要因）や、指が傷付いていたり、指に異物や汚れが付着していた等の要因（一時的な本人要因）により認証失敗した場合、同じ指で再度生体認証を行ったとしても生体情報の一致度が上昇せずに認証失敗を繰り返す可能性がある。

　そこで、本発明は、生体情報の一致度から利用者本人か疑わしいと判断した場合（認証に成功してはいないが、利用者本人の可能性がある場合）、生体情報の再登録または制限取引を行うことにより、利用者の利便性を向上させる自動取引装置、生体認証ユニット、及び生体認証方法を提供することを目的とする。

　上記の課題を解決するために、本発明は、認証時に取得した生体情報（以下、認証データ）と登録済の生体情報のテンプレート（以下、登録データ）との一致度が、所定の判定値に達しない場合、一致度が低い推定要因と指のセット方法の改善案をリアルタイムで表示する。改善策によっても生体情報の一致度が十分でない場合、改善しない要因が登録時不良要因のときは、生体情報の登録時に利用者が提示した本人確認資料（免許証、住民基本台帳カード、パスポートなどＩＣチップに個人情報が記録された媒体や、ＩＣチップ搭載の携帯端末）を照合した上で、生体情報の再登録及び取引処理を行う。一方、改善しない要因が一時的な本人要因である場合は、その時点では解決できないので、本人確認資料を読み取って照合確認の上、制限取引に移行する。

　本発明によれば、指のセット方法に対する改善を促しても生体認証に失敗し、その要因が恒久的な登録時不良要因である場合に、本人確認資料を照合した上で生体情報の再登録を行う。そのため、生体認証の成功率を大幅に高め、認証失敗が少なくなる。また、生体認証に失敗したとしても、利用者本人の可能性がある場合は取引が可能であるため、利用者の利便性が向上する。

ＡＴＭの構成を示すブロック図である。生体認証処理システムの概略図である。生体認証ユニットの構成を示すブロック図である。ＩＣカードが備えるＩＣチップの構成を示すブロック図である。生体認証及び取引処理のフローチャートである。取引選択の案内画面の一例である。認証する指のセット案内画面の一例である。指静脈リーダが読み取った指静脈画像の一例である。生体情報の一致度のブロック別の例である。認証支援モード移行の案内画面の一例である。引出し限度額を記録したテーブルの一例である。認証支援モードのフローチャートである。生体情報読み取り時の注意事項画面の一例である。認証支援モード表示画面の一例である（指が回転している場合）。認証支援モード表示画面の一例である（指を押し付けている場合）。生体情報画像の特徴を記録したテーブルの一例である。

　まず、図１～４を用いて本実施形態の基本構成を説明する。なお、本実施形態では、生体情報として指静脈情報を用いる例を説明する。
　　図１は、生体認証ユニットを備えたＡＴＭ１０１の構成を示すブロック図である。ＡＴＭ１０１は、利用者の指静脈画像を読み取る指静脈リーダ１０２と、利用者への取引案内を表示するディスプレイ（液晶ディスプレイ等の表示部）１０３と、取引を行うために操作入力を受け付けるタッチパネル（入力部）１０４と、挿入されたカードを処理するカード取扱い機構１０５と、紙幣入出金等の紙幣を処理する紙幣入出金機構１０６と、明細票の印字処理を行う明細票印字機構１０７と、通帳の印字処理を行う通帳印字機構１０８と、本人確認資料（免許証、住民基本台帳カード、パスポートなどＩＣチップに個人情報が記録された媒体や、ＩＣチップ搭載の携帯端末）を読み取る非接触ＩＣリーダ１０９と、ＡＴＭ１０１全体の動作を制御する主制御部１１０とから構成される。

　カード取扱い機構１０５は、カードの磁気ストライプ（Ｍａｇｎｅｔｉｃ　Ｓｔｒｉｐｅ（ＭＳ））に対してデータの読取り及びデータの書込みを行う磁気ストライプリードライト部（以下、磁気ストライプＲＷ部）１１１と、カードのＩＣチップに対してデータの読取り及びデータの書込みを行うＩＣチップリードライト部（以下、ＩＣチップＲＷ部）１１２とを備える。

　また、主制御部１１０は、各処理を制御するＣＰＵ１１３と、各処理を実行するためのプログラムや取引情報等の各種データを取引成立まで一時的に記憶するＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などのメモリ１１４と、ホストやサーバとデータを送受信するための通信部１１５と、取引成立後に、利用者との取引情報等を逐次記録するＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）などの記録部１１６と、及び電源１１７とを備える。

　本実施例では、上記の構成のうち、指静脈リーダ１０２と、カード取扱い機構１０５と、非接触ＩＣリーダ１０９と、主制御部１１０とを合わせて、生体認証ユニット１１９とする。生体認証ユニット１１９は、上述のように、主制御部１１０で制御しても良いが、主制御部１１０とは別途に設けた制御部（図示せず）により、各部（指静脈リーダ１０２、カード取扱い機構１０５、及び非接触ＩＣリーダ１０９）を制御しても良い。

　図２は、ＡＴＭ１０１を含む生体認証システムの概略図である。ＡＴＭ１０１は、その正面上部に、ＩＣカード２０１ａ及び本人確認資料２０１ｂを持参する利用者２０２の顔画像を撮影する人物カメラ１１８を備え、利用者２０２の操作面の右端端部に設けられた載置台に、指静脈リーダ１０２及び非接触ＩＣリーダ１０９を備えている。ＡＴＭ１０１は、金融機関のネットワーク２００を介して事務センタに設置されたホストコンピュータ２０３と接続されている。なお、ホストコンピュータ２０３は、利用者２０２の口座情報データ他を記憶しているデータベース２０４を備えている。

　図３は、生体認証ユニット１１９の主要部の構成を示すブロック図である。カード取扱い機構１０５にＩＣカード２０１ａが挿入されると、ＩＣカード２０１ａに設けられたＩＣチップ３０１ａは、その表面に設けられた接点（図示せず）を経由してＩＣチップＲＷ部１１２と通信する。生体認証時は、利用者２０２が指静脈リーダ１０２に指を置くと、スキャナ４０１が指静脈画像を読み取り、特徴抽出機能部４０２が指静脈画像から指静脈の特徴を抽出し、この指静脈の特徴に関するデータを認証用の生体情報（以下、認証データ）として出力する。認証機能部４０３は認証データを主制御部１１０とＩＣチップＲＷ部１１２を経由して、ＩＣチップ３０１ａに出力する。ＩＣチップ３０１ａは、登録された生体情報のテンプレート（以下、登録データ）と認証データとを比較・照合して、認証処理を実施する。なお、指静脈リーダ１０２の登録機能部４０４は、読み取った指静脈画像の特徴を抽出した登録データを、ＩＣチップ３０１ａに書込み登録する場合に使用される。

　このように、ＩＣチップ３０１ａが認証処理を実施するように構成することで、認証対象者である利用者２０２毎に予め登録されている登録データをＩＣチッブ３０１ａの外部に出力しなくて良いので、登録データの安全性を高めることができる。

　また、本人確認資料２０１ｂに搭載されたＩＣチップ３０１ｂは、カード取扱い機構１０５とは別に設けられた非接触ＩＣリーダ１０９にて読取られる。非接触ＩＣリーダ１０９の場合、カード取り扱い機構１０５（ＩＣチップＲＷ部１１２がＩＣチップ３０１ａに接触することでＩＣチップ３０１ａの読取りが可能）と異なり、本人確認資料２０１ｂ内のＩＣチップ３０１ｂを近付けることにより、ＩＣチップ３０１ｂの読取りが可能となる。

　図４は、ＩＣカード２０１ａが備えるＩＣチップ３０１ａの構成を示すブロック図である。携帯記憶媒体であるＩＣチップ３０１ａは、ＣＰＵのＣＰＵ５０１、通信部５０２、生体ＡＰ（アプリケーションプログラム）５０３、生体情報エリア５０４、銀行ＡＰ５０６、口座情報データ５０７、及びその他ＡＰ５０８を備えている。ＣＰＵ５０１は、ＩＣチップ３０１ａ全体を制御する。通信部５０２は、図３に示したカード取り扱い機構１０５のＩＣチップＲＷ部１１２と通信する。生体ＡＰ５０３は、生体情報エリア５０４内の登録データ５０５の登録や、認証処理時に利用者２０２から読み取られた認証データを登録データ５０５と照合する生体認証処理の一部を実行するための生体認証プログラムである。銀行ＡＰ５０６は、口座情報データ５０７の読み出しを実行するためのプログラムである。また、ＩＣチップ３０１ａには、金融機関別にクレジットなどの処理を行うその他ＡＰ５０８が組込まれることがある。
　生体情報エリア５０４は、複数の領域に区分けされており、利用者２０２の生体情報（登録生体情報）である登録データ５０５、登録時に利用者２０２が提示した本人確認資料２０１ｂの区分や個人識別番号等の情報５０９、ＡＴＭ１０１での取引時に生体認証処理を行った回数の累計である生体認証処理回数５１０、生体認証を失敗した回数の累計である生体認証失敗回数５１１、前回取引での生体認証の結果である前回の認証結果５１２等が記憶されている。

　生体情報エリア５０４の生体認証処理回数５１０が「０」とは、利用者２０２がＩＣカード２０１ａの発行後初めて生体認証を行うことを示す。前回の認証結果５１２は、前回の認証時に認証処理をリトライすることなく生体認証が成功したこと、認証処理をリトライしたことにより生体認証が成功したこと、又は生体認証が失敗したまま取引が終了したことを記憶している。これにより、利用者２０２が生体認証に慣れているか否かを判断することが可能である。

　次に、ＡＴＭ１０１における生体認証処理の具体的な処理について説明する。
　　図５は、指静脈情報が登録されたＩＣカード２０１ａを使用した生体認証と、取引処理の一例として引出取引を行う場合を示したフローチャートである。主制御部１１０のＣＰＵ１１３（以下、主制御部１１０）は、利用者２０２が接近したことをＡＴＭ１０１に設けた顧客検知センサ（図示せず）で検知した場合、ディスプレイ１０３にいらっしゃいませ画面を表示後、図６に示すような取引選択の案内画面７００を表示する。利用者２０２により、案内画面から「引出し」を選択した後（Ｓ６０１）、カード取扱い機構１０５にＩＣカード２０１ａを挿入されると（Ｓ６０２）、磁気ストライプＲＷ部１１１は磁気ストライプに記録されたＩＣチップ３０１ａ搭載の有無を読み取り、ＩＣチップ３０１ａが搭載されている場合、ＩＣチップＲＷ部１１２はＩＣチップ３０１ａに記録された口座情報データ５０７を読み取る。また、ＩＣカード２０１ａがカード取扱い機構１０５に挿入されたことを検知後、主制御部１１０は人物カメラ１１８に利用者２０２の顔画像を撮影させ、記録部１１６に利用者２０２の顔画像を記憶する（Ｓ６０３）。

　主制御部１１０は、図７に示すような認証対象の指を指静脈リーダ１０２にセットさせる案内画面８００をディスプレイ１０３に表示する。案内画面８００を確認した利用者２０２により、指が指静脈リーダ１０２に置かれたことを検知すると（Ｓ６０４）、指静脈リーダ１０２は、指静脈画像の読み取りを実施する（Ｓ６０５）。読み取られた指静脈画像から指静脈の特徴点が抽出されることにより、認証データが作成される（Ｓ６０６）。　

　図８は、指静脈リーダ１０２の特徴機能抽出部４０２により読み取られた利用者２０２の指静脈情報の一例を示す図である。利用者の指８０１から読み取った指静脈画像９００から、特徴抽出機能部４０２により指静脈の特徴点を抽出して、指８０１全体の認証データとして出力する。また、指静脈画像９００は、上下方向に３分割（指先・中央・根元）、左右方向に３分割（左・中・右）、計９個のブロック９０１～９０９に分割され、ブロック毎についても特徴点の抽出及び認証データの出力を行う。特徴点とは、指静脈画像９００の端点・交差点・屈曲点などに種類分けし、指静脈画像９００の根元で中央付近の分岐点を基準点とした位置座標・距離・方向等の情報である。なお、分割するブロック数、及び抽出する特徴点の数は一定の値でなくても良く、利用者毎・ブロック毎に変えることも可能である。

　図５に戻り、指静脈画像９００の特徴点を抽出した（Ｓ６０６）後、主制御部１１０は、作成した認証データを、ＩＣチップＲＷ部１１２を経由してＩＣチップ３０１ａに送信する。ＩＣチップ３０１ａのＣＰＵ５０１は生体ＡＰ５０３を実行する。ＣＰＵ５０１は登録データ５０５を読み出して（Ｓ６０７）、認証データが登録データ５０５とどの位一致するかを順次比較・照合していく（Ｓ６０８）。比較・照合結果から、図９に示すように、全域での一致度ＡＴ、及び各ブロック別の一致度Ａ０～Ａ８を算出する（Ｓ６０９）。一致度とは、ＩＣチップ３０１ａから読み出した登録データと、Ｓ６０６で作成された認証データとが一致する割合をいう。本実施例では、認証データ全域での一致度ＡＴと、図９に示す各ブロック別の一致度Ａ０～Ａ８とを算出する。

　ＣＰＵ５０１は、全域での一致度ＡＴが所定の値（例：８０％）以上かを確認し（Ｓ６１０）、所定の値（８０％）以上なら、生体認証はＯＫである（生体認証が成功した）と判定し、その旨を伝える信号を、通信部５０２を介して主制御部１１０に出力する。その後、主制御部１００は以下の通り取引処理を行う（Ｓ６１１ａ～ｇ）。すなわち、主制御部１１０は、暗証番号の入力操作の受付（Ｓ６１１ａ）、引出し金額の入力操作の受付（Ｓ６１１ｂ）及び確認操作の受付（Ｓ６１１ｃ）の完了後、事務センタのホストコンピュータ２０３と交信して、暗証番号・引出し金額の照会を行う（Ｓ６１１ｄ）。暗証番号・引出し金額に問題が無い場合（Ｓ６１１ｅ：ＹＥＳ）、出金処理を行い（Ｓ６１１ｆ）、ＩＣカードを返却して（Ｓ６１１ｇ）、処理を終了する。また、主制御部１１０は、暗証番号・引出し金額に問題があれば（Ｓ６１１ｅ：ＮＯ）、Ｓ６１１ａ以降の処理を行う。上記の取引処理では、生体認証がＯＫであったため、図１１に示すように引出し限度額を高額とした取引である「通常取引」としている。

　一方、ＣＰＵ５０１は、Ｓ６１０で全域での一致度ＡＴが所定の値（８０％）未満なら、認証処理を開始してから５秒経過したか確認する（Ｓ６１２）。ＣＰＵ５０１は、５秒が経過していなければ（Ｓ６１２：ＮＯ）ら、主制御部１１０とともにＳ６０５以降の処理を行う。すなわち、主制御部１１０は、指静脈リーダ１０２に置かれた指８０１の指静脈画像９００を再度複数回読取らせて認証データを生成してＩＣチップ３０１ａに出力し、ＣＰＵ５０１は、認証データと登録データを照合して、一致度を算出する。また、ＣＰＵ５０１は、Ｓ６１０において、全域での一致度ＡＴが所定の値（８０％）未満のまま、認証処理を開始してから５秒経過していたら（Ｓ６１２：ＹＥＳ）、全域での一致度ＡＴの情報を通信部５０２に主制御部１１０へ出力させる。

　主制御部１１０は、受信した全域での一致度ＡＴが５０％未満の場合（Ｓ６１３：ＮＯ）、例えば利用者２０２の初歩的なミスで中指を登録したのに未登録の人差し指を置くといった初歩的なミスも考えられるので、「登録している指とは違っていませんか。確認願います」という警告をディスプレイ１０３に表示させる（Ｓ６１４）。主制御部１１０は、指静脈リーダ１０２のスキャナ４０１により、指静脈リーダ１０２から利用者２０２の指８０１が離れたのを確認した後（Ｓ６１５：ＹＥＳ）、Ｓ６０４に戻り、利用者２０２が指８０１を再度置くのを待つ。なお、本実施例の場合、全域での一致度ＡＴが５０％以上となるまで、Ｓ６０４以降の処理を繰り返し実行しているが、利用者２０２が本人でない場合、何度実行しても全域での一致度ＡＴが５０％以上とならない可能性が高い。そのため、Ｓ６０４以降の処理を予め定められた回数（例：３回）実行しても、一致度ＡＴが５０％以上とならない場合、取引中止としても良い。

　一方、主制御部１１０は、受信した全域での一致度ＡＴが５０～８０％（指静脈画像９００が利用者２０２の物であるか疑わしい値）である場合（Ｓ６１３：ＹＥＳ）、図１０に示すように、利用者２０２に対して指静脈読み取りでの一致度の改善を支援する「認証支援モード」に移行するか否かを選択する画面１１００を表示させる（Ｓ６１６）。利用者２０２が「移行しない」ボタン１１０２を押下し、生体認証を中止した場合（Ｓ６１７：Ｎ）、引出し限度額を制限した「制限取引１」に移行する。

　図１１は、取引種別１２０１と引出し限度額１２０２の対応関係を示したものであり、主制御部１１０のメモリ１１４にテーブル１２００として記録されている。「通常取引」の場合、引出し限度額を高額（３００万円／日）としている。また、「制限取引１」は、磁気ストライプまたはＩＣチップによる利用者の認証のみ実施したものであり、後述する「制限取引２」や生体認証に成功した取引に比べ、セキュリティが低い取引である。そのため、引出し限度額を低額（磁気ストライプによる認証の場合は１０万円／日、ＩＣカードによる認証の場合は３０万円／日）にしている。

　「認証支援モード」に移行するか否かを選択する画面１１００において、利用者２０２が『「認証支援モード」に移行する』ボタン１１０１を押下した場合、（Ｓ６１６：Ｙ）、主制御部１１０は、図１２に示す「認証支援モード」に移行する（Ｓ６１８）。

　図１２は、認証支援モードにおける処理を示すフローチャートである。主制御部１１０は、図１３に示す指静脈の読取り時の全般的な注意事項１４００をディスプレイ１０３に表示させる（Ｓ１３０１）。ＩＣチップ３０１ａの生体情報エリア５０４を読み出した結果、生体認証処理回数５１０「０」（利用者が初めて生体認証を行う）場合や、前回の認証結果５１２より、利用者が生体認証に不慣れであると判断した場合、ディスプレイ１０３への注意事項の表示に加え、更に詳細な注意事項を音声ガイダンスとして出力することが望ましい。

　主制御部１１０は、ＡＴＭ１０１のディスプレイ１０３に、図１４上段に示すグラフ１５０１のように、全域での一致度ＡＴをグラフとして、リアルタイムに常時表示する（Ｓ１３０２）。また、図１４下段には、一致度の低いブロック、一致度の低い推定要因、指のセット方法の改善案などが表示されるが、詳細については後に述べる。
図１４上段のグラフ１５０１には、一致度を数値表示しているが、この表示に限るものではなく、定性的な表現や色表示をして、具体的数値は表示しないようにしても良い。例えば、一致度が大幅に不足している場合（全域での一致度ＡＴが５０％以上６５％未満）は「橙色」、大幅ではないが不足している場合（全域での一致度ＡＴが６５％以上８０％未満）は「黄色」、一致している場合（全域での一致度ＡＴが８０％以上８５％未満）は「緑色」、よく一致している場合（全域での一致度ＡＴが８５％以上）は「青色」といった表示でも良い。

　指静脈リーダ１０２は、指静脈画像の読み取りを実施する（Ｓ１３０３）。読み取られた指静脈画像から指静脈の特徴点が抽出されることにより、認証データが作成される（Ｓ１３０４）。

　主制御部１１０は、作成した認証データを、ＩＣチップＲＷ部１１２を経由してＩＣチップ３０１ａに送信する。ＩＣチップ３０１ａのＣＰＵ５０１は生体ＡＰ５０３を実行する。ＣＰＵ５０１は登録データ５０５を読み出して（Ｓ１３０５）、認証データが登録データ５０５とどの位一致するかを順次比較・照合する（Ｓ１３０６）。

　ＣＰＵ５０１は、全域での一致度ＡＴが所定の値（例：８０％）以上かを確認し（Ｓ１３０７）、所定の値（８０％）以上なら、生体認証はＯＫである（生体認証が成功した）と判定する。生体認証がＯＫとなっても、利用者２０２は全域での一致度ＡＴが最も高くなる指８０１のセット方法を確認したい場合があるため、図１５に示すように、グラフ１５０１及びブロック図１５０２を逐次更新し、指８０１が指静脈リーダ１０２から離されるのを待つ（Ｓ１３０８）。指８０１が離されると、その旨を伝える信号を、通信部５０２を介して主制御部１１０に出力する。その後、主制御部１００は、「通常取引」（引出し限度額：３００万円／日）として取引処理を行う（Ｓ６１１ａ～ｇ）。

　一方、全域での一致度ＡＴが所定の値（８０％）に満たない場合、主制御部１１０は、「認証支援モード」を開始してから１５秒が経過したかを確認する（Ｓ１３１０）。「認証支援モード」を開始してから１５秒が経過していない場合、図１４下段に示すように、一致度の低い推定要因１５０３、指８０１のセット方法の改善案１５０４をイラスト付のテロップでディスプレイ１０３に逐次表示する（Ｓ１３１１）。例えば、指８０１を指静脈リーダ１０２に押し付けたり、指静脈リーダ１０２から反らした場合、血管が圧迫されることで血液が流れにくくなり、指静脈画像９００が細くなる。この場合、指８０１を指静脈リーダ１０２に押しつけずに軽く接触するように、指８０１を少し持ち上げるように改善案を表示する。

　ディスプレイ１０３に表示された改善案に従って指８０１のセット方法を変更したにもかかわらず、一致度が改善しない（グラフ１５０１が降下する）場合、利用者２０２は過度の変更だったことに気付いて指８０１のセット方法を修正することが可能となる。一方、一致度が改善した（グラフ１５０１が上昇した）場合、利用者２０２は修正が正しかったことを確認することが可能となる。

　なお、指８０１のセット方法が変更中にも、推定要因１５０３や改善案１５０４もリアルタイムに変化するが、ディスプレイ１０３に表示する際にちらつきとなる場合がある。そこで、ディスプレイ１０３に表示のちらつきを抑止するために、推定要因１５０３や改善案１５０４が変化した後、一定時間連続することを確認してから、ディスプレイ１０３に表示させる。

　また、一致度の低い推定要因１５０３、指８０１のセット方法の改善案１５０４に加え、ブロック毎の一致度Ａ０～Ａ８を、一致度が低いほど濃くなる濃淡で示すブロック図１５０２を、リアルタイムに濃淡のグラデーションで示すブロック図として表示する（Ｓ１３１２）。読み取った指静脈画像９００をそのまま表示するのではなく、ブロック図として表示するのは、不審者による悪用を防止するためである。以上により、利用者２０２は、指８０１のセット方法について、自分の悪い癖に気付き、「改善案」に基づいて改善行動を起こし易くなる。その後、Ｓ１３０２以降の処理を繰り返す。

　「認証支援モード」を開始してから１５秒が経過した場合、読み取った指静脈画像９００の特徴を確認し（Ｓ１３１３）、図１６に示すように、全域での一致度ＡＴが不足する原因が一時的な本人要因によるものか判断する（Ｓ１３１４）。

　図１６は、指静脈画像９００の特徴について示したものであり、ＩＣカード２０１ａのＩＣチップ３０１ａ、又は指静脈リーダ１０２の特徴抽出機能部４０２に、テーブル１７００として記録されている。テーブル１７００には、特徴点の判定区分１７０１と、特徴点自体の特徴１７０２を対応付けて記録されている。具体的には、図１６に示すように、（１）幅の狭い線状で、蛇行や分岐をしているときや、（２）線が途中で途切れていても、延長線が描けるときは血管であると判断する。一方、（３）蛇行しない直線状の物があれば傷と判断し、（４）離れ島的な線状で、幅が広い物があれば異物が付着していると判断し、（５）点状の物が集中的に存在したり、不連続に散乱している場合は、利用者の指が汚れていると判断し、（６）一定の部分の画像が不鮮明である（かすれていたり、線が細い）場合は、指の一部が角質化していると判断し、（７）複数回読取った指静脈画像９００を比較し、指が大きく動いている場合、指が震えていると判断する。

　全域での一致度ＡＴが不足する原因が、上記（３）～（７）のような一時的な本人要因によるものと判断された場合（Ｓ１３１４：ＹＥＳ）、主制御部１１０は、利用者の一時的な本人要因で、一致度不足の解消は望めない旨をディスプレイ１０３に表示する（Ｓ１３１５）。この場合、引出し限度額を高額（３００万円／日）とした「通常取引」の処理を行うことができないが、「制限取引１」で設定されている引出し限度額（１０万円／日または３０万円／日）より多い現金を引出すことが必要な場合、別の本人認証が必要となる。

　別の本人認証を行うため、主制御部１１０は、利用者２０２が生体情報の登録時に提示した本人確認資料２０１ｂを持っているか確認する画面（図示せず）をディスプレイ１０３に表示する。本人確認資料２０１ｂを持参していない場合（Ｓ１３１６：ＮＯ）、引出し限度額が低額である「制限取引１」（引出し限度額：１０万円／日または３０万円／日）に移行する（Ｓ１３１７）。一方、利用者２０２が本人確認資料２０１ｂを持参している場合（Ｓ１３１６：ＹＥＳ）、主制御部１１０は、非接触ＩＣリーダ１０９にかざすように案内する。係員は、生体情報の登録時に、生体認証に失敗した場合の回避手段として、本人確認資料２０１ｂが利用できる旨を説明しておくことにより、初めて生体認証を行なう利用者や生体認証に不慣れな利用者は本人確認資料２０１ｂを持参して来店していることが期待できる。

　主制御部１１０は、非接触ＩＣリーダ１０９により、本人確認資料２０１ｂのＩＣチップ３０１ｂから区分や個人識別番号を読み出して（Ｓ１３１８）、ＩＣカード２０１ａ内のＩＣチップ３０１ａに記録されている本人確認資料２０１ｂの区分や個人識別番号等の情報５０９と一致しているか比較・照合する（Ｓ１３１９）。本人確認資料２０１ｂのＩＣチップ３０１ｂが読み取れない場合、区分や個人識別番号を手入力しても良い。比較・照合の結果、区分や個人識別番号が一致しない場合（Ｓ１３１９：ＮＯ）、引出し限度額が低額である「制限取引１」（引出し限度額：１０万円／日または３０万円／日）に移行する（Ｓ１３１７）。一方、区分や個人識別番号が一致する場合（Ｓ１３１９：ＹＥＳ）、図１１に示すような、「通常取引」より引出し限度額を制限しているが、「制限取引１」よりも引出し限度額を緩和した「制限取引２」に移行する。

　「制限取引２」は、磁気ストライプまたはＩＣチップによる利用者の認証に加え、本人確認資料２０１ｂによる認証を実施したものであり、生体認証に成功した取引に比べ、セキュリティが低いが、前述の「制限取引１」よりもセキュリティの高い取引である。そのため、引出し限度額を中程度（１００万円／日）にしている。

　Ｓ１３１４に戻り、全域での一致度ＡＴが不足する原因が、上記（３）～（７）のような一時的な本人要因によるものでないと判断された場合（Ｓ１３１４：ＮＯ）、「認証支援モード」を開始してから６０秒が経過するまでは（Ｓ１３２１：ＮＯ）、Ｓ１３１１、Ｓ１３１２及びＳ１３０２～Ｓ１３１４の処理を繰返す。すなわち、図１４に示すように、指８０１のセット方法が変化するのに伴って、一致度の低い推定要因１５０３、指８０１のセット方法の改善案１５０４をイラスト付のテロップで逐次表示する。また、「認証支援モード」を開始してから６０秒が経過するまでに全域での一致度ＡＴが所定の値（８０％）以上になった場合（Ｓ１３０７：ＹＥＳ）、生体認証はＯＫである（生体認証が成功した）と判定し、主制御部１００は、「通常取引」（引出し限度額：３００万円／日））として取引処理を行う（Ｓ１３０８～Ｓ１３０９）。

　「認証支援モード」を開始してから６０秒が経過した場合（Ｓ１３２１：ＹＥＳ）、主制御部１１０は、全域での一致度ＡＴが６５％以上か確認し（Ｓ１３２２）、６５％未満である場合（Ｓ１３２２：ＮＯ）、Ｓ１３１５以降の処理を行う。すなわち、制御部１１０は、利用者の一時的な本人要因で、一致度不足の解消は望めない旨をディスプレイ１０３に表示し、利用者が生体情報の登録時に提示した本人確認資料２０１ｂを持っているか確認し、本人確認資料２０１ｂを持参している場合はＩＣカード２０１ａ内のＩＣチップ３０１ａに記録されている本人確認資料２０１ｂの区分や個人識別番号等の情報５０９と一致しているか比較・照合し、結果に応じて「制限取引１」または「制限取引２」に移行する。

　一方、全域での一致度ＡＴが６５％以上である場合（Ｓ１３２２：ＹＥＳ）、主制御部１１０は、生体情報の登録時に指８０１のセット方法を忘れたり、適切でない状態で登録されたなどの恒久的な登録時不良要因により、一致度不足の解消は望めない旨をディスプレイ１０３に表示する（Ｓ１３２３）。この場合、生体情報を再登録しないときは、引出し限度額を高額（３００万円／日）とした「通常取引」の処理を行うことができない。そのため、本人確認資料２０１ｂの提示を確認した後、生体情報の再登録を可能とする。

　すなわち、「認証支援モード」では、Ｓ１３１４において本人要因と判断できなかった場合であって、全域での一致度ＡＴが、大幅ではないが不足している場合（５０％以上６５％未満）に限り、特別の対応として生体情報の再登録を可能とする。なお、Ｓ１３１４において本人要因と判断なかった場合であり、全域での一致度ＡＴが、大幅に不足している場合（５０％以上６５％未満）に、生体情報の再登録を認めた場合はリスクが多いと考えられるため、全域での一致度ＡＴが低い要因を本人要因と判断する。

　主制御部１１０は、利用者２０２が生体情報の登録時に提示した本人確認資料２０１ｂを持っているか確認する画面（図示せず）をディスプレイ１０３に表示する。本人確認資料２０１ｂを持参していない場合（Ｓ１３２４：ＮＯ）、引出し限度額が低額である「制限取引１」（引出し限度額：１０万円／日または３０万円／日）に移行する（Ｓ１３２５）。一方、利用者２０２が本人確認資料２０１ｂを持参している場合、主制御部１１０は、非接触ＩＣリーダ１０９にかざすように案内する。

　主制御部１１０は、非接触ＩＣリーダ１０９により、本人確認資料２０１ｂのＩＣチップ３０１ｂから区分や個人識別番号を読み出して（Ｓ１３２６）、ＩＣカード２０１ａ内のＩＣチップ３０１ａに記録されている本人確認資料２０１ｂの区分や個人識別番号等の情報５０９と一致しているか比較・照合する（Ｓ１３２７）。比較・照合の結果、区分や個人識別番号が一致しない場合（Ｓ１３２７：ＮＯ）、引出し限度額が低額である「制限取引１」（引出し限度額：１０万円／日または３０万円／日）に移行する（Ｓ１３２５）。一方、区分や個人識別番号が一致する場合（Ｓ１３２７：ＹＥＳ）、主制御部１１０は、利用者２０２に生体情報の再登録を実施するか否か確認する画面（図示せず）をディスプレイに表示する。生体情報の再登録を実施する場合（Ｓ１３２８：ＹＥＳ）、利用者２０２は、指静脈リーダ１０２に指をセットする（Ｓ１３３０）。その後、ＩＣチップ３０１ａの登録データ５０５のうち、既に新登録データ５０５ａに記録されている登録データを旧登録データ５０５ｂに移動させ、指静脈リーダ１０２で読取られた生体情報を、新たに新登録データ５０５ａに格納される。生体情報の再登録後、主制御部１００は、「通常取引」（引出し限度額：３００万円／日）として取引処理を行う（Ｓ１３３１）。

　一方、生体情報の再登録を実施しない場合（Ｓ１３２８：ＮＯ）、主制御部１００は、「制限取引２」（引出し限度額：１００万円／日）として取引処理を行う（Ｓ１３２９）。

　上記の実施例では、ＡＴＭ１０１に実装された指静脈リーダ１０２で生体情報の登録・認証を行っているが、生体情報は指静脈に限定したものではなく、手のひら静脈や指紋、虹彩、顔画像といった他の生体情報でも良い。

　また、上記の実施例では、生体情報をＩＣカード２０１ａに搭載されたＩＣチップ３０１ａに記録しているが、携帯端末（例：携帯電話）に搭載されたＩＣチップに生体情報を登録し、携帯端末を非接触ＩＣリーダ１０９で読み取ることにより、同様の処理を実行しても良い。また、生体情報を金融機関のサーバに登録することにより、生体情報の一元管理を行っても良い。

　また、上記の実施例では、ＩＣカード２０１ａのＩＣチップ３０１ａに記録された指静脈画像の特徴や生体情報の一致度ＡＴから、全域での一致度ＡＴが不足する原因を判断したが、過去の履歴等を用いて判断しても良い。

　また、上記の実施例では、制限取引の一例として、出金額の上限を制限しているが、取引種別を制限（例えば、出金取引を制限）や、一日の取引回数を制限しても良い。

　さらに、上記の実施例では、主制御部１１０から利用者２０２への指示は、ＡＴＭ１０１のディスプレイ１０３や音声ガイダンスを使用しているが、生体情報登録装置や生体認証付パソコン、あるいは生体情報認証装置自身に液晶ディスプレイ等が実装していれば、これらの装置を利用して利用者２０２への指示をしても良い。したがって、本発明はＡＴＭに限定したものではなく、生体情報登録装置や生体認証付パソコン、生体情報認証装置を含む一般の情報処理装置、自動機にも適用できる。この場合、自動機を利用する利用者の生体情報だけでなく、その自動機を操作する操作者（顧客・係員）の生体情報に対しても、同様の生体認証を実施することが可能である。

１０１：ＡＴＭ、１０２：指静脈リーダ、１０３：ディスプレイ、１０４：タッチパネル、１０５：カード取扱い機構、１０９：非接触ＩＣリーダ、１１０：主制御部、１１２：ＩＣチップリードライト部、１１３：ＣＰＵ、１１４：メモリ、１１６：記録部、１１９：生体認証ユニット、２０１ａ：ＩＣカード、２０１ｂ：本人確認資料、２０２：利用者、３０１ａ：ＩＣカードのＩＣチップ、３０１ｂ：本人確認資料のＩＣチップ、４０１：スキャナ、４０２：特徴抽出機能部、４０３：認証機能部、４０４：登録機能部、５０４：生体情報エリア、５０５：登録データ、５０９：本人確認資料の情報、８０１：指、９００：指静脈画像

Claims

　認証対象者のＩＣカードを読み取るカードリーダと、前記認証対象者の生体情報である第一の個人情報を読み取る第一の読取部と、前記第一の個人情報と異なる第二の個人情報を読み取る第二の読取部と、装置全体の動作を制御する制御部と、を備えた自動取引装置であって、
　前記制御部は、
　前記第一の読取部で読取られた前記第一の個人情報と、前記ＩＣカードに登録されている認証対象者の第一の個人情報との一致度を取得し、
　予め定めた時間を経過した後に、前記一致度が生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、
　前記要因が、前記ＩＣカードに登録されている前記第一の個人情報にあり、かつ前記第二の読取部で読み取られた前記第二の個人情報と、前記ＩＣカードに登録されている認証対象者の第二の個人情報とが一致する場合、前記第一の読取部で読取られた前記第一の個人情報を前記ＩＣカードに記録することを特徴とする自動取引装置。
　請求項１に記載の自動取引装置であって、
　前記制御部は、
　前記第一の読取部で読取られた第一の個人情報が、前記第一の読取部、又は前記ＩＣカードに予め記録されている特徴を有する場合、前記要因は、前記第一の読取部で読取られた第一の個人情報にあると判断する自動取引装置。
　請求項１または２に記載の自動取引装置であって、
　前記制御部は、
　前記第一の読取部で前記第一の読取部で読取られた第一の個人情報が、前記第一の読取部、又は前記ＩＣカードに予め記録されている特徴を有さず、前記一致度が前記第一の閾値より低い第二の閾値より低い場合、前記要因は、前記第一の読取部で読取られた第一の個人情報にあると判断する自動取引装置。
　請求項３に記載の自動取引装置であって、
　前記一致度が第二の閾値より高い場合、前記一致度が低い要因は、前記ＩＣカードに登録されている前記第一の個人情報にあると判断する自動取引装置。
　請求項１～４のいずれか一つに記載の自動取引装置であって、
　前記制御部は、
　前記第一の読取部で読取られた前記第一の個人情報を前記ＩＣカードに記録した後、前記認証対象者の入力操作に応じた取引処理を行うことを特徴とする自動取引装置。
　請求項１～５のいずれか一つに記載の自動取引装置であって、
　読取られた前記第二の個人情報と、前記ＩＣカードに予め登録されている認証対象者の第二の個人情報とが一致しない場合、読取られた前記第二の人情報と、前記ＩＣカードに予め登録されている認証対象者の第二の個人情報とが一致する場合に比べて取引処理を制限することを特徴とする自動取引装置。
　請求項１～６のいずれか一つに記載の自動取引装置であって、
　前記認証対象者に対する表示データを表示する表示部を備え、
　前記制御部は、
　前記一致度が低い要因、又は前記一致度の分布における一定時間毎の変化に応じて、前記第一の読取部に対する前記認証対象者の生体の置き方の変更の指示を含む表示データを前記表示部に出力することを特徴とする自動取引装置。
　認証対象者の生体情報を読み取って、生体認証する生体認証ユニットであって、
　認証対象者のＩＣカードを読み取るカードリーダと、前記認証対象者の生体情報である第一の個人情報を読み取る第一の読取部と、前記第一の個人情報と異なる前記第二の個人情報生体認証に関する各種情報を前記生体認証ユニットの外部に出力する出力部と、前記生体認証ユニットを制御する制御部とを備え、
　前記制御部は、
　前記第一の読取部で読取られた前記第一の個人情報と、前記ＩＣカードに登録されている認証対象者の第一の個人情報との一致度を取得し、
　予め定めた時間を経過した後に、前記一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断し、
　前記要因が、前記ＩＣカードに登録されている前記第一の個人情報にあり、かつ前記第二の読取部で読み取られた前記第二の個人情報と、前記ＩＣカードに登録されている認証対象者の第二の個人情報とが一致する場合、前記第一の読取部で読取られた前記第一の個人情報を前記ＩＣカードに記録することを特徴とする生体認証ユニット。
　認証対象者の生体情報を読み取って、生体認証を行う生体認証方法であって、
　前記認証対象者の生体情報である第一の個人情報を読み取るステップと、
　読取られた前記第一の個人情報と、ＩＣカードに登録されている認証対象者の第一の個人情報との一致度を一取得するステップと、
　予め定めた時間を経過した後に、前記一致度が前記生体認証を許容するための第一の閾値より低い場合、前記一致度が低い要因を判断するステップと、
　前記要因が、前記ＩＣカードに予め登録されている前記第一の個人情報にある場合、前記第一の個人情報と異なる前記第二の個人情報を読み取るステップと、
　読取られた前記第二の個人情報と、ＩＣカードに登録されている認証対象者の第二の個人情報とが一致する場合、前記第一の読取部で読取られた前記第一の個人情報を前記ＩＣカードに記録するステップと、
を備えた生体認証方法。