WO2016136316A1

WO2016136316A1 - 決済端末

Info

Publication number: WO2016136316A1
Application number: PCT/JP2016/050995
Authority: WO
Inventors: 聡志石井; 裕道戸崎; 桂二野上; 俊幸岡村; 和貴西村; 拓小澤; 遼平鈴木; 一毅滝井; 裕司堀口; 和広隅川
Original assignee: オムロン株式会社
Priority date: 2015-02-27
Filing date: 2016-01-14
Publication date: 2016-09-01
Also published as: JP6464816B2; JP2016162019A

Abstract

　決済端末において、演算処理部は、入力された個人情報を暗号化する暗号化処理を行う。外部メモリは、演算処理部と導体ラインで接続され、演算処理部が暗号化処理で暗号化した個人情報を記憶させる。出力部は、外部メモリに記憶させた暗号化した個人情報を上位装置へ出力する。演算処理部は、内蔵メモリを当該演算処理部内に有し、この内蔵メモリに記憶している暗号鍵を用いて、入力された個人情報に対する暗号化処理を行う。

Description

決済端末

　この発明は、取引金額をカードで決済する決済端末に関する。

　従来、取引金額をカード（クレジットカードやデビットカード等）で決済（精算）する電子決済取引が行われている。電子決済取引を処理する決済端末の１つとして、ＣＡＴ（Credit Authorization Terminal）がある。
　決済端末は、カード情報や、カード所有者が入力した暗証番号等の個人情報を取り扱うことから、悪意を持った第三者のタンパ行為によって、入力された個人情報が不正に読み出されて漏洩するのを防止するための機能（耐タンパ性機能）を有している。例えば、決済端末は、決済端末本体の筐体が開封されたことを検知する開封検知機能を備え、この開封検知機能によって決済端末本体の筐体が開封されたことを検知すると、メモリに記憶している個人情報等を消去する構成であった（特許文献１等参照）。

国際公開第２００８／１１７４６７号公報

　しかしながら、タンパ行為の手法が巧妙化しており、耐タンパ性の強化が望まれている。
　耐タンパ性の強化の１つとして、演算処理部（ＣＰＵ）と外部メモリ（ＲＡＭ）とを接続する導体ラインに対する不正なアクセスによって、この導体ラインから個人情報が不正に読み出され（個人情報が抜き取られ、）、第三者に漏洩するのを防止することがある。

　この発明の目的は、演算処理部と外部メモリとを接続する導体ラインに対する不正なアクセスによって、この導体ラインから個人情報が不正に読み出され、第三者に漏洩するのを防止することによって、セキュリティの向上を図った決済端末を提供することにある。

　この発明の決済端末は、上記目的を達するために以下の構成を備えている。
　決済端末は、例えば、取引金額をカード（クレジットカードやデビットカード等）で決済（精算）する電子決済取引を処理する。
　演算処理部は、入力された個人情報を、内蔵メモリに記憶している暗号鍵を用いて暗号化する暗号化処理を行う。ここで言う暗号鍵は、情報（個人情報）の暗号化に用いる鍵である。また、暗号鍵は、暗号化した情報（個人情報）を復号化するときに用いる復号鍵と同じ鍵であってもよいし、この復号鍵と異なる鍵であってもよい。言い換えれば、復号鍵は、暗号鍵と同じであってもよいし、暗号鍵と異なっていてもよい。個人情報は、取引の決済に用いるカードの情報（カード情報）や、そのカードの暗証番号等である。演算処理部は、例えばＣＰＵであり、タンパ行為に対する耐性（耐タンパ性）が高い。したがって、演算処理部に対する不正なアクセスによって、内蔵メモリに記憶している暗号鍵や、入力された個人情報が漏洩するのを防止できる。

　演算処理部は、導体ラインで接続された外部メモリに、暗号化処理で暗号化した個人情報を記憶させる。すなわち、演算処理部と、外部メモリとを電気的に接続する導体ライン上には、暗号化された個人情報が流れる。このため、演算処理部と外部メモリとを電気的に接続する導体ラインに対して不正なアクセスが行われても、この導体ラインから不正に読み出されるのは暗号化された個人情報である。また、上述したように、暗号鍵は、演算処理部が有する内蔵メモリに記憶しているので、演算処理部と外部メモリとを電気的に接続する導体ラインから不正に読み出されることはない。

　出力部は、外部メモリに記憶させた暗号化した個人情報を上位装置へ出力する。上位装置は、例えば決済可否の認証を行う認証装置である。
　したがって、演算処理部と外部メモリとを接続する導体ラインに対する不正なアクセスによって、この導体ラインから個人情報が不正に読み出され、第三者に漏洩するのを防止できるので、セキュリティの向上が図れる。

　また、決済端末は、個人情報を入力する構成として、演算処理部に接続され、個人情報を入力するカードリーダやＰＩＮパッド等の個人情報入力部を備えればよい。
　また、演算処理部の内蔵メモリは、バッテリバックアップされた揮発性の記憶領域を有し、この揮発性の記憶領域に前記暗号鍵を記憶すればよい。この場合、開封検知部が決済端末本体の筐体が開封されたことを検知すると、内蔵メモリに対するバッテリバックアップを停止し、暗号鍵を消失させるのが好ましい。これにより、暗号鍵が不正に読み出されるのを防止でき、セキュリティの一層の向上が図れる。

　また、外部メモリは、個人情報を利用しない処理を行う業務アプリケーションプログラムを展開する領域を有してもよい。個人情報を利用しない処理を行う業務アプリケーションプログラムには、決済端末本体に設けた表示器の画面表示を制御する表示プログラムや、決済端末に接続されたプリンタへの印字出力を行う印字プログラム等である。
　さらに、演算処理部における暗号化処理にかかる暗号化プログラム、および業務アプリケーションプログラムについては読取専用メモリ（ＲＯＭ）に記憶させておき、決済端末本体の電源がオンされたときに、暗号化プログラムについては演算処理部の内蔵メモリに展開し、業務アプリケーションプログラムについては外部メモリに展開する構成としてもよい。

　この発明によれば、演算処理部と外部メモリとを接続する導体ラインに対する不正なアクセスによって、この導体ラインから個人情報が不正に読み出され、第三者に漏洩するのを防止でき、セキュリティの向上が図れる。

決済端末の主要部の構成を示すブロック図である。決済端末の概観を示す概略図である。決済端末のソフトウェアの階層構造を示す概略図である。決済端末の動作を示すフローチャートである。ロード処理を示すフローチャートである。取引処理を示すフローチャートである。個人情報の入力受付処理を示すフローチャートである。

　以下、この発明の実施形態である決済端末について説明する。
　図１は、この例にかかる決済端末の主要部の構成を示すブロック図である。図２は、この例にかかる決済端末の概観を示す概略図である。決済端末１は、ＣＰＵ２と、ＲＯＭ３と、ＲＡＭ４と、個人情報入力部５と、入出力部６と、開封検知部７と、を備える。決済端末１本体各部は、導体ラインによって、電気的に接続されている。

　決済端末１は、取引金額をカード（クレジットカードやデビットカード等）で決済（精算）する電子決済取引を処理する。
　ＣＰＵ２は、決済端末１本体の動作を制御する。また、ＣＰＵ２は、バッテリバックアップされたメモリ１０を内蔵している。メモリ１０は、揮発性のメモリである。ＣＰＵ２が、この発明言う演算部に相当する構成を有する。また、メモリ１０が、この発明で言う内蔵メモリに相当する構成を有する。詳細については後述するが、ＣＰＵ２は、個人情報を暗号化する暗号化処理を行う。

　ＲＯＭ３は、オペレーティングシステム（ＯＳ：Operating System）、アプリケーションプログラミングインタフェース（ＡＰＩ：Application Programming Interface）、業務アプリケーションプログラム（以下、単に業務アプリと言う。）、暗号化プログラム等、決済端末１本体で起動させるプログラムを記憶する。ＲＯＭ３が、この発明で言う読取専用メモリに相当する構成を有する。

　ＲＡＭ４には、ＲＯＭ３が記憶するＯＳ、ＡＰＩ、業務アプリが決済端末１本体の起動時に展開される。また、ＲＡＭ４は、暗号化された個人情報を必要に応じて記憶する領域を有している。このＲＡＭ４が、この発明で言う外部メモリに相当する構成を有する。
　個人情報入力部５は、カードに記録されているカード情報を読み取るカードリーダ５ａや、テンキーや機能キー等を有する操作キー５ｂ、さらには、決済端末１本体に接続されたＰＩＮパッド（不図示）等である。ＰＩＮパッドは、カード所有者が暗証番号を入力するデバイスである。また、図２では、カードリーダ５ａとして磁気カードからカード情報を読み取る磁気カードリーダのみを示しているが、個人情報入力部５は、接触式のＩＣカードからカード情報を読み取るＩＣカードリーダや、非接触式のＩＣカードからカード情報を読み取る非接触式ＩＣカードリーダ等も備える構成であってもよい。

　入出力部６は、接続されている外部機器との間におけるデータの入出力を行う。外部機器には、上位装置と通信するための通信機器、取引内容を印字するプリンタ、取引する商品の登録等を行うＰＯＳ端末等である。また、上位装置は、電子決済取引にかかる決済可否を認証する認証センタや、取引履歴を管理する取引管理装置等である。入出力部６が、この発明で言う出力部に相当する構成を有する。

　開封検知部７は、決済端末１本体の筐体が開封されたことを検知する。開封検知部７は、例えば、公知のタンパピンを利用して、決済端末１本体の筐体が開封されたことを検知する構成である。
　なお、決済端末１は、図２に示す表示器８や、この表示器８に表示を制御する表示部（不図示）等も備えている。

　次に、ＣＰＵ２が内蔵するメモリについて説明する。メモリ１０は、暗号化プログラム展開領域１１と、変数領域１２とを有する。暗号化プログラム展開領域１１には、ＲＯＭ３に記憶している暗号化プログラムが起動時に展開される。変数領域１２には、動作時に発生したデータが必要に応じて記憶される。例えば、個人情報入力部５において入力された個人情報（カード情報や、暗証番号等）を記憶する。また、変数領域１２には、個人情報の暗号化処理に用いる暗号鍵１３が記憶されている。暗号鍵１３で暗号化された情報（個人情報）を復号化するときに用いる復号鍵は、暗号鍵１３であってもよいし、この暗号鍵１３とは異なる鍵であってもよい。

　図３は、決済端末のソフトウェアの階層構造を示す概略図である。上述した業務アプリには、表示器８における表示を制御する表示プログラム、入出力部６に接続されたプリンタに印字データを生成して出力する印字プログラム、取引金額の決済を認証する認証プログラム、上位装置との通信を制御する通信プログラム等がある。
　決済端末１は、ＯＳ層、ＡＰＩ層、ＡＰ層の順番に階層を構成している。暗号化プログラムは、ＡＰＩ層で実行されるＡＰＩプログラムの１つとして定義している。また、表示プログラム、印字プログラム、認証プログラム等の業務アプリは、ＡＰ層で実行されるアプリとして定義している。すなわち、暗号化プログラムは、業務アプリとは、異なる階層で実行される。

　以下、決済端末１の動作について説明する。図４は、決済端末の動作を示すフローチャートである。
　決済端末１は、本体の電源がオンされるとＲＯＭ３に記憶している各種プログラムをロードするロード処理を行う（ｓ１、ｓ２）。
　図５は、ｓ２にかかるロード処理を示すフローチャートである。決済端末１は、ＣＰＵ２においてローディングプログラムを実行し（ｓ１１）、ＲＯＭ３に記憶している暗号化プログラムをＣＰＵ２のメモリ１０の暗号化プログラム展開領域１１に展開する（ｓ１２）。また、決済端末１は、ＲＯＭ３に記憶しているＯＳ、ＡＰＩ，各種業務アプリをＲＡＭ４に展開し（ｓ１３）、このロード処理を完了する。ｓ１２とｓ１３の処理は、上記順番と逆であってもよいし、並列的に実行されてもよい。

　決済端末１は、上記の説明から明らかなように、暗号化プログラムをメモリ１０の暗号化プログラム展開領域１１に展開し、ＲＡＭ４に展開しない。決済端末１は、ｓ２にかかるロード処理の完了により、取引処理が行える状態になる。
　決済端末１は、取引の開始にかかる入力操作が行われるか、決済端末１本体の電源がオフされるのを待つ（ｓ３、ｓ４）。決済端末１は、取引の開始にかかる入力操作が行われると、取引処理を行う（ｓ５）。また、決済端末１は、電源がオフされると、電源オフ処理を行い（ｓ６）、本処理を終了する。

　図６は、ｓ５にかかる取引処理を示すフローチャートである。決済端末１は、取引情報の入力を受け付ける（ｓ２１）。ｓ２１で入力を受け付ける取引情報は、取引する商品やサービスを識別する商品・サービスコードや、取引金額等である。決済端末１は、ｓ２１で入力された取引情報をＣＰＵ２のメモリ１０の変数領域１２に記憶する。また、決済端末１は、取引金額の決済に用いる個人情報の入力を受け付ける（ｓ２２）。ｓ２２で入力を受け付ける個人情報は、取引金額を決済するカードのカード情報や、取引金額を決済するカードの暗証番号等である。

　図７は、ｓ２２にかかる個人情報の入力受付処理を示すフローチャートである。決済端末１は、取引金額の決済に用いるカードの種別の入力を受け付ける（ｓ３１）。ｓ３１では、クレジットカード、デビットカード、プリペイドカード等のカードの利用用途にかかる種別や、磁気カード、接触式ＩＣカード、非接触式ＩＣカード等のカードの物理的構成にかかる種別等の入力を受け付ける。ｓ３１では、オペレータによる操作キー５ｂの操作によって、取引金額の決済に用いるカードの種別の入力が行われる。

　決済端末１は、ｓ３１で入力された種別のカードについて、カード情報の入力を受け付ける（ｓ３２）。ｓ３２では、個人情報入力部５が備えるカードリーダが、カード情報を読み取り、読み取ったカード情報をＣＰＵ２に入力する。ＣＰＵ２は、入力されたカード情報をメモリ１０の変数領域１２に記憶する。
　決済端末１は、ＣＰＵ２において、入力されたカード情報を暗号化する（ｓ３３）。ｓ３３では、ＣＰＵ２は、メモリ１０の暗号化プログラム展開領域１１に展開している暗号化プログラムによって、入力されたカード情報を暗号化する。ＣＰＵ２は、メモリ１０の変数領域１２に記憶している暗号鍵１３を用いて、カード情報を暗号化する。また、ＣＰＵ２は、カード情報を暗号化すると、暗号化したカード情報を、メモリ１０の変数領域１２に記憶するとともに、この変数領域１２に記憶している暗号化していないカード情報（ｓ３２で入力されたカード情報）を消去する。すなわち、決済端末１は、暗号化されていないカード情報については、そのカード情報が不要になると、すぐにメモリ１０の変数領域１２から消去する（但し、暗号化したカード情報は、メモリ１０の変数領域１２に記憶している。）。これにより、暗号化されていないカード情報が漏洩することに対するセキュリティの低下を抑えている。

　決済端末１は、暗証番号の入力を受け付ける（ｓ３４）。ｓ３４では、カード所有者が、個人情報入力部５が備えるＰＩＮパッドを利用して暗証番号を入力する。入力された暗証番号は、ＣＰＵ２に入力される。ＣＰＵ２は、入力された暗証番号をメモリ１０の変数領域１２に記憶する。
　決済端末１は、今回の取引にかかる取引金額の決済にかかる認証を、センタで行うか、または決済端末１本体で行うかを判定する（ｓ３５）。決済端末１は、取引金額の決済にかかる認証をセンタで行うと判定すると、ＣＰＵ２において、メモリ１０の暗号化プログラム展開領域１１に展開している暗号化プログラムによって、入力された暗証番号を暗号化する（ｓ３６）。ＣＰＵ２は、変数領域１２に記憶している暗号鍵１３を用いて、暗証番号を暗号化する。ＣＰＵ２は、暗証番号を暗号化すると、暗号化した暗証番号を、メモリ１０の変数領域１２に記憶するとともに、この変数領域１２に記憶している暗号化していない暗証番号（ｓ３４で入力された暗証番号）を消去する。すなわち、決済端末１は、暗号化されていない暗証番号については、その暗証番号が不要になると、すぐにメモリ１０の変数領域から消去する（但し、暗号化した暗証番号は、メモリ１０の変数領域に記憶している。）。これにより、暗号化されていない暗証番号が漏洩することに対するセキュリティの低下を抑えている。

　一方、決済端末１は、取引金額の決済にかかる認証をセンタで行わない（すなわち、決済端末１本体で行う。）と判定すると、取引金額の決済可否にかかる認証処理を行う（ｓ３７）。決済端末１は、取引の決済に使用するカードがプリペイドカードである場合等に、ｓ３６で取引金額の決済にかかる認証をセンタで行わないと判定する。ｓ３７では、取引の決済に使用するプリペイドカードが有する価値の残高が取引金額未満であれば、取引金額の決済不可と判定する。一方、取引の決済に使用するプリペイドカードが有する価値の残高が取引金額以上であれば、取引金額の決済可と判定する。

　なお、決済端末１は、取引金額が予め定めた金額(例えば、１０００円）未満である場合(小額取引である場合）も、ｓ３５で取引金額の決済にかかる認証をセンタで行わない（決済端末１本体で行う。）と判定するようにしてもよい。
　図６に戻って、決済端末１は、ｓ２２にかかる処理(図７に示した処理）が完了すると、ＣＰＵ２のメモリ１０の変数領域１２に記憶している情報の中で、必要な情報をＲＡＭ４に転送する（ｓ２３）。ｓ２３では、上述したｓ３７で認証処理を行っていない場合、ＣＰＵ２のメモリ１０の変数領域に記憶しているｓ２１で入力された取引情報、ｓ３３で暗号化したカード情報、およびｓ３６で暗号化した暗証番号を、ＲＡＭ４に転送する。一方、上述したｓ３７で認証処理を行っている場合、ＣＰＵ２のメモリ１０の変数領域に記憶しているｓ２１で入力された取引情報、およびｓ３３で暗号化したカード情報を、ＲＡＭ４に転送する。

　すなわち、この決済端末１では、ＣＰＵ２とＲＡＭ４とを接続する導体ラインを流れるカード情報や暗証番号等の個人情報は暗号化されている。このため、ＣＰＵ２とＲＡＭ４とを接続する導体ラインに対する不正なアクセスによって、この導体ラインから個人情報が不正に読み出されても（個人情報が抜き取られても、）、読み出された個人情報は暗号化されている。

　また、暗号鍵１３は、ＣＰＵ２とＲＡＭ４とを接続する導体ラインを流れない。暗号鍵１３は、上述したように、ＣＰＵ２のメモリ１０の変数領域１２に記憶されているだけで、ＣＰＵ２から外部に出力されることはない。したがって、ＣＰＵ２とＲＡＭ４とを接続する導体ラインに対する不正なアクセスによって、暗号化された個人情報が抜き取られたとしても、暗号鍵１３が漏洩しないので、抜き取られた個人情報が復号化されるのを防止できる。

　決済端末１は、取引金額の決済にかかる認証が行われているかどうかを判定する（ｓ２４）。ｓ２４では、上述したｓ３７で取引金額の決済にかかる認証を行ったかどうか、すなわち取引金額の決済にかかる認証をセンタで行うかどうかを判定している。
　決済端末１は、ｓ２４で認証済みであると判定すると、以下に示すｓ２５、ｓ２６にかかる処理を行うことなく、後述するｓ２７に進む。

　決済端末１は、ｓ２４で認証済みでないと判定すると、センタに対して認証要求を送信し（ｓ２５）、センタからの認証結果を受信するのを待つ（ｓ２６）。決済端末１は、ｓ２５では、暗号化した個人情報(暗号化したカード情報や、暗証番号）や、取引金額を含む取引情報をセンタに送信する。センタは、決済端末１毎に、その決済端末１が記憶している暗号鍵１３を復号鍵として記憶している。したがって、センタは、決済端末１から受信した認証要求に含まれている個人情報の復号が行える。

　なお、センタは、認証要求を送信してきた決済端末１を回線番号によって認識する構成であってもよいし、認証要求に含まれている端末コード（決済端末１を識別する端末コード）によって認識する構成であってもよい。また、各決済端末１が暗号鍵１３としてセンタの公開鍵を記憶し、センタが対応する復号鍵（秘密鍵）を記憶する構成であってもよい。この場合、センタは、認証要求を送信してきた決済端末１を認識しなくてもよい。

　決済端末１は、カードにより取引金額の決済可否を判定する（ｓ２７）。決済端末１は、決済可であれば、取引金額をカードで決済する決済処理を行い、取引を処理する（ｓ２８）。一方、決済端末１は、決済不可であれば、取引を中止する取引中止処理を行い（ｓ２９）、本処理を終了する。
　このように、この例にかかる決済端末１は、ＣＰＵ２とＲＡＭ４とを電気的に接続する導体ライン上に暗号化されていない個人情報を流さないので、ＣＰＵ２とＲＡＭ４とを接続する導体ラインへの不正なアクセスに対するセキュリティを向上できる。

　また、決済端末１は、ＲＡＭ４上で展開される表示プログラムや、印字プログラム等の業務アプリが不正に書き換えられ、この不正に書き換えられた業務アプリによって、ＲＡＭ４に記憶している個人情報がダンプされても、このダンプされた個人情報も暗号化されている。したがって、業務アプリの不正な書き換えに対するセキュリティも向上できる。また、これにより、個人情報の漏洩に対するセキュリティを低下させることなく、決済端末１本体を使用するユーザが業務アプリを自由に変更することができるようになる。すなわち、決済端末１本体を使用するユーザは、使い勝手のよい業務アプリを利用することができ、操作性の向上が図れる。さらに、決済端末１は、個人情報を利用する認証プログラムと、個人情報を利用しない業務アプリを、同一のＲＡＭ４上で展開し実行する構成であるので、決済端末１本体のコストアップも抑えられる。

　また、決済端末１は、開封検知部７において、決済端末１本体の筐体が開封されたことを検知すると、変数領域１２に記憶している個人情報や暗号鍵１３を消去する。具体的には、メモリ１０に対するバッテリバックアップを停止することによって、変数領域１２に記憶している個人情報や暗号鍵１３を消失させる。したがって、決済端末１は、開封によって、ＣＰＵ２のメモリ１０の変数領域１２に記憶している暗号鍵１３が漏洩することもない。

１…決済端末
２…ＣＰＵ
３…ＲＯＭ
４…ＲＡＭ
５…個人情報入力部
５ａ…カードリーダ
５ｂ…操作キー
６…入出力部
７…開封検知部
８…表示器
１０…メモリ
１１…暗号化プログラム展開領域
１２…変数領域
１３…暗号鍵

Claims

　取引を決済する決済端末において、
　入力された個人情報を暗号化する暗号化処理を行う演算処理部と、
　前記演算処理部と導体ラインで接続され、前記演算処理部が前記暗号化処理で暗号化した個人情報を記憶させる外部メモリと、
　前記外部メモリに記憶させた暗号化した個人情報を上位装置へ出力する出力部と、を備え、
　前記演算処理部は、内蔵メモリを当該演算処理部内に有し、この内蔵メモリに記憶している暗号鍵を用いて、入力された個人情報に対する前記暗号化処理を行う、決済端末。
　前記演算処理部に接続され、個人情報を入力する個人情報入力部を備える、請求項１に記載の決済端末。
　前記演算処理部の前記内蔵メモリは、バッテリバックアップされた揮発性の記憶領域を有し、この揮発性の記憶領域に前記暗号鍵を記憶している、請求項１、または２に記載の決済端末。
　前記決済端末本体の筐体が開封されたことを検知する開封検知部を備え、
　前記演算処理部は、前記開封検知部が前記決済端末本体の筐体が開封されたことを検知すると、前記内蔵メモリに対するバッテリバックアップを停止する、請求項３に記載の決済端末。
　前記外部メモリは、前記演算処理部が前記暗号化処理で暗号化した個人情報を利用しない処理を行う業務アプリケーションプログラムを展開する領域を有する、請求項１～４のいずれかに記載の決済端末。
　前記演算処理部における前記暗号化処理にかかる暗号化プログラム、および前記業務アプリケーションプログラムを記憶する読取専用メモリを備え、
　前記暗号化プログラムは、前記演算処理部の前記内蔵メモリに展開され、
　前記業務アプリケーションプログラムは、前記外部メモリに展開される、請求項５に記載の決済端末。