WO2017104288A1

WO2017104288A1 - 決済システム、ユーザ端末及びそれで実行される方法、決済装置及びそれで実行される方法、並びにプログラム

Info

Publication number: WO2017104288A1
Application number: PCT/JP2016/082871
Authority: WO
Inventors: 中村　貴利
Original assignee: 株式会社エヌティーアイ
Priority date: 2015-12-14
Filing date: 2016-11-04
Publication date: 2017-06-22
Also published as: US20190066100A1; US11631079B2; JPWO2017104288A1; JP6904571B2; EP3399489A4; EP3399489A1

Abstract

クレジットカードを用いた決済システムに代わるより安全性の高い決済システムを提供する。　決済システムは、ユーザ端末、決済装置、決済端末を持つ。まず、決済システムでユーザＩＤとパスワードと金額を特定する金額情報を入力（Ｓ９１２）し、それを決済装置に送る（Ｓ９１３）。決済装置は、与信判定（Ｓ９２２）を行い、与信が可能なら仮許可情報を生成し（Ｓ９２３）、それをユーザ端末に送る（Ｓ９２４）。ユーザ端末はワンタイムパスワードを生成する（Ｓ９１５）。ワンタイムパスワードは、決済端末に入力される（Ｓ９３１）。決済端末から決済装置に送られたワンタイムパスワードが決済装置で作られたワンタイムパスワードと同じなら（Ｓ９２６）、決済装置はユーザの支払いを認める（Ｓ９２７）。

Description

決済システム、ユーザ端末及びそれで実行される方法、決済装置及びそれで実行される方法、並びにプログラム

　本発明は、決済システムに関する。

　例えば、店舗、飲食店等での支払いに、インターネット上での商品の売買の際の支払いに、クレジットカードによる決済が広く用いられている。かかる決済（金銭の支払い）は現在、インターネットその他のネットワークを介して行われる。
　より詳細には、クレジットカードでの決済は、以下のようにして行われる。
　現在普及しているクレジットカードでは、ユーザがクレジットカードで支払いを行なう場合、ユーザがクレジットカードを実店舗で用いた場合にはその実店舗のカードリーダ等で読込まれたデータを、ユーザがクレジットカードをウェブ上の仮想店舗で用いた場合には、ユーザが例えば暗号化通信で仮想店舗に送ったデータを、実店舗又は仮想店舗からインターネット等のネットワークを介して、クレジットカード会社のコンピュータ（或いはクレジットカード会社が管理するコンピュータ）である決済装置に送る。決済装置は、受取ったそのデータに基づいてユーザに対して与信が可能か否かの判定を行ない、与信を行なえた場合には決済を行なうという手法が一般的に採られている。かかる与信は、クレジットカード会社が負うリスクを軽減するためのものであるが、クレジットカード会社のコンピュータは、与信を行うに先立ってユーザの認証（例えば、クレジットカードナンバーとクレジットカードホルダの名称との組合わせの正当性を見ることによる認証）を行なうことによっても、第三者のなりすましによるクレジットカードの不正利用によるリスクの軽減を図っている。以上のようなユーザに対する認証は、基本的には、クレジットカードに物理的に刻印された、或いは電磁気的に記録された情報であるクレジットカードナンバーとクレジットカードホルダとによってなされる。

　上述のように、クレジットカードにおけるクレジットカードナンバーは、一つのクレジットカードに対して、固定された１つのみである。したがって、クレジットカードナンバーを用いての認証は、第三者によるなりすましを完全に排除することが難しい。
　クレジットカード自体を悪意の第三者により盗難された場合のみならず、クレジットカードナンバーが、データとして、例えば、決済装置が持つ顧客のクレジットカードのナンバーを記録したデータベースから流出した場合などには、悪意の第三者はクレジットカードの所有者に容易になりすますことができる。
　ユーザの認証の精度を上げることにより、第三者のなりすましによるクレジットカードの不正利用を減じる目的で、様々な工夫がなされている。クレジットカードが実店舗で使用される場合には、ユーザの署名を必須とするのもその工夫の１つである。また、最近では、ＣＶＣ（Ｃａｒｄ　Ｖｅｒｉｆｉｃａｔｉｏｎ　Ｃｏｄｅ）、ＣＶＣ２などの様々な技術も実用されている。しかしながら、これらの技術は、クレジットカードナンバーとは別の数桁の数字をクレジットカードナンバーと共に認証に用いることにより認証の精度を上げるものに過ぎない。クレジットカードナンバーと共に用いられる数桁の数字は、クレジットカードナンバーと同じく、常に固定されているから、これらの技術は、クレジットカードナンバーの桁数を幾らか増やした程度の効果しか無く、ユーザの認証の精度を上げるというその効果も極めて限定的である。

　本願発明は、クレジットカードを用いた決済技術に変わる、第三者のなりすましによる不正の生じにくい新規な決済技術を提案することをその課題とする。

　かかる課題を解決するため、本願発明者は、以下に説明する発明を提案する。
　本願発明は、所定のネットワークにそのそれぞれが接続可能とされた、情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、を含んで構成されている決済システムである。
　かかる決済システムにおける前記ユーザ端末は、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力できるようになっており、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信するようになっているとともに、前記ユーザ端末情報処理手段は、ワンタイムパスワードを生成するユーザ端末ＯＴＰ生成部を備えている。
　また、決済システムにおける前記決済装置は、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取るようになっており、前記決済装置情報処理手段は、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する与信判定部と、決済の最終判定を行う最終判定部と、前記ユーザ端末と同じワンタイムパスワードを生成する決済装置ＯＴＰ生成部とを備えており、前記決済装置送受信手段は、前記与信判定部が生成した仮許可情報を前記ネットワークを介して前記ユーザ端末に送信するようになっている。
　そして、この決済システムでは、前記仮許可情報を前記決済装置から前記ユーザ端末が前記ユーザ端末送受信手段にて受付けると、前記ユーザ端末ＯＴＰ生成部が、ワンタイムパスワードを生成するようになっており、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記与信判定部で前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置ＯＴＰ生成部で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記最終判定部が、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっている。

　本願発明の大まかな理解を助けるために例示すると、本願発明の決済システムにおけるユーザ端末は、ユーザによって使用、管理等がなされるものであり、従来のクレジットカードを用いた決済システムにおけるクレジットカードに相当する。本願発明の決済装置は、クレジットカードによる決済システムにおける、クレジットカード会社等によって管理等される決済装置に相当する。また、本願発明の決済端末は、クレジットカードによる決済システムにおける、実店舗に置かれたカードリーダを有する装置に相当し、或いはインターネット上の仮想店舗での決済に決済システムが応用される場合であれば、ユーザが用いるコンピュータそれ自体、或いはユーザが用いるコンピュータからワンタイムパスワードを受取る、その仮想店舗の管理者が管理するコンピュータ、又はそれらを併せたものに相当する。もっとも、以上の例示はあくまでも例示であり、本願発明がまったく新規な決済システムであることもあるため、必ずしも正確ではない場合もあり得る。
　本願発明のユーザ端末は、コンピュータ、例えば可搬のコンピュータであり、携帯電話、スマートフォン、タブレット等である。これらの機器を持ち歩くことは最早一般人にとっても極日常的なことである。これらの機器をユーザ端末として利用することで、ユーザはクレジットカードという嵩張るものを持ち歩く必要がなくなる。この決済システムにおいて、従来の決済システムにおけるクレジットカードに相当するものがユーザ端末であるとすれば、この決済システムにおいて、従来の決済システムにおけるクレジットカードナンバーに相当するものはユーザ端末で発生させられるワンタイムパスワードである。ワンタイムパスワードは、周知のように、次々と異なるものが発生させられる。したがって、ワンタイムパスワードが悪意のある第三者に盗まれたとしても、そのいわば使い捨てのワンタイムパスワードを悪用するのは難しく、しかも後述するようにしてワンタイムパスワードの有効期限を、通常のクレジットカードの有効期限に比して極めて短く（例えば、これよりも長くてもよいが、数日以内から数十分程度、場合によっては１０分程度）決めておくことにより、その悪用は殆ど不可能となる。つまり、この決済システムでは、そのとき限りしか有効でないワンタイムパスワードをクレジットカードナンバーの代わりに用いることにより、悪意のある第三者のなりすましを防止することにしている。
　他方、本願発明による決済システムには更なる利点がある。従来のクレジットカードを用いた決済システムにおいて、クレジットカードナンバーを盗みそれを悪用する者が、ユーザからクレジットカードナンバーを知らされる立場にあるクレジットカードリーダの操作者等である、という場合があることが広く知られている。つまり、クレジットカードによる決済システムにおいては、構造的にクレジットカードナンバーを扱う者自体が悪意ある第三者となることがあり、それを完全に排除することは不可欠である。そのような者が行うクレジットカードナンバーの悪用に備え、クレジットカードを発行するクレジットカード会社等は、クレジットカードリーダを設置する者に対する与信管理を行い、その信用の程度に合せてクレジットカードにより支払いを行う場合における手数料を上下させるなどの大変に手間のかかることを行っている。しかも、上述の与信管理において、手数料を幾ら上げたとしてもクレジットカード会社等が負うリスクと釣り合わないと判断されるような、最低限の信用も持ちあわせていない者は、クレジットカード会社等が行う与信管理から漏れ、クレジットカードによる支払いを受けることができないというのが、クレジットカードによる決済システムが普及している今日における現実である。しかしながら、クレジットカードナンバーの第三者による悪用が殆ど想定できない本願発明の決済システムによれば、クレジットカード会社等が行う上述の与信管理が必要なくなる。また、クレジットカードナンバーをユーザから受取る、クレジットカードを用いた決済システムでユーザからの支払いを受取る者に対する与信管理が不要になるということは、本願発明の決済システムによりユーザからの支払いを受ける者を従来よりも増やせるということを意味する。これは、当然、大きな利点である。

　この決済システムにおける処理の大まかな流れは、以下のとおりである。
　まず、ユーザが、ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力する。金額情報は、金額情報により決済を行うユーザを特定する情報であるユーザ情報とともに、ユーザ端末から、決済装置に送信される。
　この決済装置は、ユーザ情報と金額情報とを用いて、与信判定部により、ユーザの認証及び与信の判断を行う。ここで行われるユーザの認証は、ユーザ情報によって行われる。ユーザ情報は、例えば、ユーザが、前記ユーザ端末入力手段を用いて入力を行うユーザＩＤと、前記ユーザ端末のそれぞれに対して割り振られたユニークな端末情報の少なくとも一方を含むものとすることができ、また、それらの双方を含むものとされていても良い。ユーザＩＤは、例えばユーザが決定した、数字、文字、記号等の羅列であり、基本的に正当なユーザしか知らないものであるため、ユーザ端末が第三者に盗まれた場合であっても、第三者のなりすましを防止することができる可能性が高い。端末情報の例としては、ユーザ端末がスマートフォンである場合における当該スマートフォンに組込まれたＳＩＭカード（Subscriber Identity Module Card）に記録されたＩＤ番号や、スマートフォンの製造番号等の個体識別番号を挙げることができる。端末情報をユーザの認証に用いることとすれば、ユーザ端末自体が悪意の第三者に盗まれない限り、悪意の第三者によるなりすましを防げる可能性が高くなる。もちろん、ユーザＩＤと端末情報の双方をユーザの認証に用いることにより、ユーザの認証の精度は高くなり、且つなりすましを防げる可能性も高くなる。
　与信判定部で行われる与信判定自体は、従来のクレジットカードを用いる場合における与信判定と同様に行うことが可能である。与信判定で決済を行えるということになったら、その旨を示す仮許可情報が、決済装置からユーザ端末へと送られる。
　仮許可情報を受取ったユーザ端末では、そのユーザ端末ＯＴＰ生成部で、ワンタイムパスワードが生成される。ワンタイムパスワードは、数字、文字、記号等の羅列とすることができ、少なくともユーザが決済装置で認証を受ける度に生成されるようにされ、また、生成される度に異なるようなものとなるようにされている。また、各ユーザ端末で生成されるワンタイムパスワードは、複数回生成されるワンタイムパスワードの全体を見た場合には、異なるものとなるようにされている。ワンタイムパスワードは、例えば、公知の手法で生成することができる。ユーザ端末で生成されたワンタイムパスワードは、決済端末の決済端末入力手段を用いて、決済端末に渡される。
　ユーザ端末は通常、ディスプレイを備えている。ユーザ端末ＯＴＰ生成部で生成されたワンタイムパスワードは例えば、ディスプレイに表示されるようになっている。ワンタイムパスワードが数字の羅列の場合には、決済端末入力手段をテンキー等とすることにより、ユーザ或いは決済端末の管理者は、ディスプレイに表示されたワンタイムパスワードを、テンキー等を操作することにより決済端末に入力することができる。ワンタイムパスワードが、数字と文字の組合せであり、且つ決済端末入力手段がキーボードである場合には、ユーザ或いは決済端末の管理者は、ディスプレイに表示されたワンタイムパスワードを、キーボードを操作することにより決済端末に入力することができる。ワンタイムパスワードの決済端末への受渡しの方法は、これには限られない。例えば、ワンタイムパスワードが表示されたユーザ端末のディスプレイを、決済端末入力手段としてのカメラで撮影し、ディスプレイに表示されたワンタイムパスワードを画像処理によって決済端末に入力する、或いはユーザ端末のディスプレイにバーコードとして表示されたワンタイムパスワードを、決済端末入力手段としてのバーコードリーダで読み取ることによって、ワンタイムパスワードを決済端末に受け渡すことも可能である。或いは、Ｂｌｕｅｔｏｏｔｈ、赤外線通信などの無線通信によって（もちろん、有線の通信でも構わないが若干不便である。）、ユーザ端末から決済端末にワンタイムパスワードをデータとして受け渡すことも可能である。なお、この場合には必ずしも、ユーザ端末のディスプレイにワンタイムパスワードを表示する必要はない。
　ユーザが、インターネット上の仮想店舗に対する支払いを行う場合には、ユーザがワンタイムパスワードを仮想店舗に渡すために、ユーザ端末、或いはユーザが使用するインターネットによる通信が可能な他の端末に、ユーザが、ワンタイムパスワードを入力することになる。この場合の入力には一般に、ユーザ端末或いは他の端末が備えたテンキー或いはキーボードが用いられるが、かかる入力においても、上述の場合と同様に、カメラ、バーコードリーダ、或いは無線通信が利用されても良いのは自明であろう。
　いずれにせよ、ユーザ端末から決済端末に受渡されたワンタイムパスワードは、決済端末から、決済装置に送られる。
　決済装置は、決済装置ＯＴＰ生成部を有している。決済装置ＯＴＰ生成部は、ユーザ端末ＯＴＰ生成部と同じワンタイムパスワードを生成することができるようになっている。公知のように、ユーザ端末ＯＴＰ生成部で生成されるワンタイムパスワードと、決済装置ＯＴＰ生成部で生成されるワンタイムパスワードとは、同期されたものとされる。決済装置は、多数のユーザ端末の決済を行うので、各ユーザ端末のユーザ端末ＯＴＰ生成部で生成されるワンタイムパスワードと同期したワンタイムパスワードを生成できるようになっている。決済端末からワンタイムパスワードを受取ると、決済装置では、最終判定部が、決済装置ＯＴＰ生成部が生成したワンタイムパスワードと、決済端末から送られて来たワンタイムパスワードとを比較することにより、決済を認めて良いか否かの最終判定がなされる。両ワンタイムパスワードが一致したのであれば、最終判定部は、そのワンタイムパスワードによるユーザ端末の使用者から、決済端末の管理者への支払いを許可する。決済が許可された後の決済装置で行われる処理は、クレジットカードを用いた決済システムの場合と同様で良い。
　この決済システムによれば、上述したように、決済装置で行われる最終的な決済の許可は、ユーザ端末で生成されたワンタイムパスワードを用いて行われる。
　ユーザ端末で使用されるワンタイムパスワードは、１回の決済の許可にしか用いられない。したがって、ワンタイムパスワードを第三者に盗まれたところで、それにより被害が生じる可能性は低く、被害が生じたとしてもクレジットカードを用いた決済システムの場合に比べれば遥かに小さい。
　なお、本願発明において、決済端末の管理者とは、決済端末を管理する者に限られず、決済端末を設置、所有、専有又は占有し或いは管理、操作する者、及びユーザから支払いを受ける者をすべて含み、いずれにせよユーザからの支払いを受ける組織自体、或いは当該組織に属するか、少なくともその組織に関連する者を意味する。
　また、本願発明の決済システムにおいて、決済装置とユーザ端末の間の通信と、決済装置と決済端末との間の通信は、暗号化通信であっても構わない。
　なお、本願の決済システムを用いて、ユーザが支払いを行う相手方が特に実店舗である場合であって、ユーザ端末を用いてワンタイムパスワードを発生させてからある程度の時間を経た（例えば、数時間から数ヶ月を経てから）後に、ユーザが相手方に対して支払いを行うことが想定される場合には、ユーザ端末で生成されたワンタイムパスワードを紙に印刷するのが便利である場合もある。本願発明におけるワンタイムパスワードは、物理的な実体を持たないデータ（或いは単なる情報）であるが、それはそのデータ或いは情報を用いて第三者に支払いを行うことができるという性質を持つ。かかる性質をより強調するのであれば、本願の決済システムにおいてユーザ端末で生成されるワンタイムパスワードは、貨幣の代替物であると考えることができる。フィンテック関連の技術が話題に上っている昨今の流れを考えれば、貨幣はやがて実体を失っていくのかもしれないが、しかしながら物理的な実体を持つ貨幣に少なくとも現状の一般人は慣れ親しんでいる。ワンタイムパスワードを印刷した紙である金券を、ユーザはあたかも貨幣（紙幣）のように用いることにより、支払いの相手方への支払いを行うことが可能となる。言い換えれば、かかる金券は、ワンタイムパスワードをユーザ端末から決済端末に引渡すためのバリエーションの１つであるといえる。かかる金券を受取った支払いを受ける者は、それに印刷されたワンタイムパスワードを何らかの方法で、例えばテンキーやキーボードを用いて入力することで、決済端末に入力することができる。
　もっとも、かかる金券をユーザが落としたり、或いは第三者に盗まれたりした場合には、通常の紙幣をユーザが落としたり、或いは第三者に盗まれたりしたときと同様に、その金券を第三者に使用されてしまうおそれがある。とはいえ、その金券には、ワンタイムパスワードに設けられた使用可能な期間に応じた使用期限があるから、悪意の第三者に使用されるリスクは通常の貨幣よりは小さいといえる。しかしながら、それとは別種の問題として、かかる金券には、それに印刷されたワンタイムパスワードを第三者に知られた場合には、金券自体はユーザの手元に存在するのに、そのワンタイムパスワードを第三者に使用されてしまい、その金券或いは、その金券に印刷されていたワンタイムパスワードが本来持っていた金銭的な価値が失われてしまう可能性があるという、通常の紙幣にはないリスクがある。金券に印刷されたワンタイムパスワードを第三者に盗まれたということは、手元に金券が残っているユーザには知得するのが難しいから、仮にかかる問題が生じたとしてもその発見、及び解決は難しい。そこで、そのような状況の発生を防止するための技術として、本願発明者は、前記ワンタイムパスワードの一部は、前記紙の一方の面に、前記ワンタイムパスワードの残部は、前記紙の他方の面に、それぞれ印刷されている、という金券を提案する。かかる金券であれば、悪意の第三者が金券に印刷されたワンタイムパスワードを盗もうとした場合には、その金券の両面を見る（或いは、写真に撮る）ことが必要となるから、ワンタイムパスワードを盗まれる可能性は、ワンタイムパスワードが紙の一方の面のみに印刷されている場合に比して格段に小さくなる。
　また、本願の決済システムにおけるユーザ端末で生成された前記ワンタイムパスワードを特定するための情報を、紙に印刷してなる、金券をも本願発明者は、本願発明の一態様として提案する。かかる金券も、従来からの伝統的貨幣と同様の態様でユーザが使用することができる。ワンタイムパスワードを特定するための情報とは、例えば、バーコードである。ユーザからかかる金券を受取ったユーザから支払いを受けるべき相手方は、その情報（例えば、バーコード）を読取りそれを決済端末に入力することによって、ユーザ端末で生成されたワンタイムパスワードを決済端末に入力することができる。これも、ワンタイムパスワードをユーザ端末から決済端末に引渡すためのバリエーションの１つであるといえる。ワンタイムパスワード自体を金券に印刷する場合と同じく、前記ワンタイムパスワードの一部を特定するための情報が、前記紙の一方の面に、前記ワンタイムパスワードの残部を特定するための情報が、前記紙の他方の面に、それぞれ印刷されていても構わない。
　また、以上の金券を構成する前記紙には、その金券を使用することが予定された者の顔が印刷されていても良い。ユーザから支払いを受けるべき者が金券を受取った場合に、その金券に印刷された顔とその金券を差出したユーザの顔との一致を確認し、その確認が行えた場合にのみ、その金券による決済に必要な処理（例えば、決済端末に対する金券に記載されていたワンタイムパスワードの入力）を行うことにすれば、金券を落としたり第三者に盗まれた場合においても、そのワンタイムパスワードの不正使用（不正な決済）を防止することができるようになる。

　本願発明の決済システムにおける前記ユーザ端末は、前記ユーザ端末が存在する位置を特定するための情報である位置情報を生成する位置情報生成手段を備えており、前記ユーザ端末送受信手段は、前記位置情報を前記決済装置に送信するようになっていてもよい。ユーザ端末がそのようなものである場合、前記決済装置の前記最終判定部は、前記ユーザ端末から前記ワンタイムパスワードをその前記決済端末送受信手段で送って来た前記決済端末の位置が、前記ユーザ端末の前記位置情報生成手段で生成された位置情報で特定される位置から、所定の距離以内の場合に限り、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっていてもよい。
　この限りではないが、この決済システムは、決済端末が実店舗に存在する場合に特に有用である。この決済システムであれば、ユーザ端末と、ユーザ端末からワンタイムパスワードを受渡される決済端末の位置とが所定の距離以内でない限り、決済装置の最終判定部は決済の許可を行わない。これにより、第三者がなりすましを行うおそれをより小さくすることができる。
　ユーザ端末から、決済装置に位置情報を送信するタイミングは、金額情報とユーザＩＤとを決済装置に送信するタイミングとは別に決定することができる。例えば、前記ユーザ端末送受信手段は、前記位置情報を、前記金額情報、及び前記ユーザ情報と一緒に、前記決済装置に送信するようになっていてもよい。或いは、仮許可情報をユーザ端末が受取った後の所定のタイミングで、ユーザ端末が決済装置に位置情報を送るようになっていても良い。
　位置情報生成手段は、例えばＧＰＳ（Global Positioning System）である。ＧＰＳの機能は、ユーザ端末の一例となるスマートフォン等には一般的に内蔵されるように既になっているので、位置情報生成手段としてＧＰＳを用いるのにハードウェア的な面からの負担は大きくない。
　最終判定部は、上述のように、ユーザ端末からワンタイムパスワードを送って来た決済端末の位置が、ユーザ端末の位置情報で特定される位置から、所定の距離以内か否かの判定を行う。かかる判定を行うには、最終判定部は、決済端末の位置を知ることが必要となる。それを可能とするには、以下のように幾つかのアプローチがある。
　その１つ目は、決済装置にワンタイムパスワードを送る可能性のある決済端末の位置を、予め決済装置が把握しておくというものである。例えば、各決済端末を特定するための決済端末のＩＤと、各決済端末の位置とを紐付けて記録したデータベースを、決済装置が有していれば、決済装置はどの決済端末からワンタイムパスワードが送られてきたかを把握することにより、ワンタイムパスワードを送ってきた決済端末の位置を把握することができる。
　その２つ目は、決済端末に、ユーザ端末が備える位置情報生成手段と同様の位置情報生成手段を持たせておき、決済端末が、ワンタイムパスワードを決済装置に送る度に（ワンタイムパスワードを送るのと同時か否かは問わない）、決済端末の位置情報を決済端末から決済装置に送るというものである。これによっても、決済装置は、ワンタイムパスワードを送ってきた決済端末の位置を把握することができる。

　本願発明の決済システムにおける決済装置が有する前記最終判定部は、ユーザが、前記ユーザ端末入力手段によって、前記金額情報を入力するための処理を開始してから、前記最終判定部が決済の最終判定を行う前までのうちの所定の時点から、前記最終判定部が決済の最終判定を行うまでの時間が、予め定められた時間間隔よりも短い場合にのみ、決済を許可するようになっていてもよい。
　これは、要するに、ユーザ端末で生成されたワンタイムパスワードに有効期限を設けるものである。これにより、クレジットカードを用いた決済システムにおけるクレジットカードナンバーに相当する、本願発明による決済システムにおけるワンタイムパスワードが不正利用される可能性がより小さくなる。
　所定の時点は、上述のように、ユーザが、ユーザ端末入力手段によって、金額情報を入力するための処理を開始してから、最終判定部が決済の最終判定を行う前までのうちの所定の時点である。「ユーザが、ユーザ端末入力手段によって、金額情報を入力するための処理を開始したとき」というのは、ユーザが金額情報の入力そのものを始めたときではなく、ユーザが金額情報の入力を開始するに必要な何らかの処理を開始したとき、を意味する。例えば、金額情報を入力するために、この決済に必要なソフトウェアをユーザ端末で立ち上げることが必要なのであれば、その処理を行った時という意味である。
　所定の時点は例えば、ユーザが、ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力した（例えば、入力を開始した時点、或いは入力をし終えた）時点、ユーザ端末送受信手段が、金額情報と、ユーザ情報とを、ユーザ端末送受信手段によって、ネットワークを介して決済装置に送信した時点、決済装置末送受信手段が、金額情報と、ユーザ情報とを、ユーザ端末送受信手段から受取った時点、決済装置の与信判定部が仮許可情報を生成した時点、仮許可情報が決済装置の決済装置送受信手段から送信された時点、仮許可情報がユーザ端末のユーザ端送受信手段で受取られた時点、である。

　本願発明者は、以上で説明した決済システムに用いられるユーザ端末をも、本願発明の一態様として提案する。これにより得られる効果は、上述の決済システムで得られる効果に同じである。
　一例となるユーザ端末は、所定のネットワークにそのそれぞれが接続可能とされた、情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、を含んで構成されている決済システム、を構成するためのユーザ端末である。
　このユーザ端末は、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力できるようになっており、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信するようになっているとともに、前記ユーザ端末情報処理手段は、ワンタイムパスワードを生成するユーザ端末ＯＴＰ生成部を備えている。
　そして、このユーザ端末を含む決済システムに含まれる前記決済装置は、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取るようになっており、前記決済装置情報処理手段は、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する与信判定部と、決済の最終判定を行う最終判定部と、前記ユーザ端末と同じワンタイムパスワードを生成する決済装置ＯＴＰ生成部とを備えており、前記決済装置送受信手段は、前記与信判定部が生成した仮許可情報を前記ネットワークを介して前記ユーザ端末に送信するようになっている。
　そして、このユーザ端末を含む決済システムは、前記仮許可情報を前記決済装置から前記ユーザ端末が前記ユーザ端末送受信手段にて受付けると、前記ユーザ端末ＯＴＰ生成部が、ワンタイムパスワードを生成するようになっていることにより、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記与信判定部で前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置ＯＴＰ生成部で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記最終判定部が、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっている。

　本願発明者は、ユーザ端末で実行される以下の方法も本願発明の一態様として提案する。これにより得られる効果は、上述の決済システムで得られる効果に同じである。
　その方法の一例は、所定のネットワークにそのそれぞれが接続可能とされた、情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、を含んで構成されている決済システム、を構成するためのユーザ端末に含まれるユーザ端末情報処理手段にて実行される方法である。
　この方法は、前記ユーザ端末情報処理手段が実行する。
　具体的には、この方法は、ユーザ端末情報処理手段が実行する、前記ユーザ端末入力手段により、決済の対象となる金額を特定する情報である金額情報の入力を受付ける過程と、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信する過程と、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取った前記決済装置において、前記決済装置情報処理手段が、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し、前記与信判定で前記決済が可能であると判定した場合にその旨を示す情報である仮許可情報を生成し、その仮許可情報を前記決済装置送受信手段が、前記ネットワークを介して前記ユーザ端末に送信した場合に、それを前記ユーザ端末送受信手段により受付ける過程と、前記仮許可情報を前記決済装置から前記ユーザ端末が受付けた場合に、ワンタイムパスワードを生成する過程と、を含んでいる。
　それにより、この決済システムは、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記決済装置情報処理手段で、前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記決済装置情報処理手段が、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを許可するようになっている。

　本願発明者は、所定のコンピュータを、本願発明の決済システムに含まれるユーザ端末として機能させるためのコンピュータプログラムも本願発明の一態様として提案する。これにより得られる効果は、上述の決済システムで得られる効果に同じである。
　そのコンピュータプログラムの一例は、所定のネットワークにそのそれぞれが接続可能とされた、情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、を含んで構成されている決済システム、を構成するためのユーザ端末としてコンピュータを機能させるためのコンピュータプログラムである。
　そして、このコンピュータプログラムは、前記コンピュータに、前記ユーザ端末入力手段により、決済の対象となる金額を特定する情報である金額情報の入力を受付ける過程と、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信する過程と、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取った前記決済装置において、前記決済装置情報処理手段が、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し、前記与信判定で前記決済が可能であると判定した場合にその旨を示す情報である仮許可情報を生成し、その仮許可情報を前記決済装置送受信手段が、前記ネットワークを介して前記ユーザ端末に送信した場合に、それを前記ユーザ端末送受信手段により受付ける過程と、前記仮許可情報を前記決済装置から前記ユーザ端末が受付けた場合に、ワンタイムパスワードを生成する過程と、を実行させる。
　それにより、この決済システムは、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記決済装置情報処理手段で、前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記決済装置情報処理手段が、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを許可するようになっている。

　本願発明者は、以上で説明した決済システムに用いられる決済装置をも、本願発明の一態様として提案する。これにより得られる効果は、上述の決済システムで得られる効果に同じである。
　その決済装置の一例は、所定のネットワークにそのそれぞれが接続可能とされた、情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、を含んで構成されている決済システム、を構成するための決済装置である。
　この決済装置を含む決済システムに含まれる前記ユーザ端末は、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力できるようになっており、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信するようになっているとともに、前記ユーザ端末情報処理手段は、ワンタイムパスワードを生成するユーザ端末ＯＴＰ生成部を備えている。
　そして、この決済装置は、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取るようになっており、前記決済装置情報処理手段は、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する与信判定部と、決済の最終判定を行う最終判定部と、前記ユーザ端末と同じワンタイムパスワードを生成する決済装置ＯＴＰ生成部とを備えており、前記決済装置送受信手段は、前記与信判定部が生成した仮許可情報を前記ネットワークを介して前記ユーザ端末に送信するようになっている。
　そして、この決済システムは、前記仮許可情報を前記決済装置から前記ユーザ端末が前記ユーザ端末送受信手段にて受付けると、前記ユーザ端末ＯＴＰ生成部が、ワンタイムパスワードを生成するようになっており、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記与信判定部で前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置ＯＴＰ生成部で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記最終判定部が、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっている。

　本願発明のユーザ端末における前記ユーザ端末入力手段は、ユーザからの支払いを受ける者が管理する決済端末を特定する情報である決済端末特定情報を入力できるようになっているとともに、前記ユーザ端末送受信手段は、前記決済端末特定情報を前記ネットワークを介して前記決済装置に送るようになっていてもよい。
　この場合、決済装置の前記最終判定部は、前記決済装置に前記ワンタイムパスワードを送ってきた前記決済端末が、前記ユーザ端末から送られてきた前記決済端末特定情報で特定される前記決済端末と一致した場合にのみ決済を許可するようになっていてもよい。
　ユーザ端末から決済装置には上述のように、金額情報と、ユーザ情報とが送られるようになっている。これら情報によれば、どのユーザが幾ら支払いを行おうとしているかを特定することは可能であるが、ユーザが誰に支払いを行おうとしているかは特定することはできない。他方、金額情報と、ユーザ情報とに加えて、決済端末特定情報がユーザ端末から決済装置に送られるのであれば、どのユーザが誰に幾らの支払いを行おうとしているかを特定することができる。最終判定部が、決済装置にワンタイムパスワードを送ってきた決済端末が、ユーザ端末から送られてきた決済端末特定情報で特定される決済端末と一致した場合にのみ決済を許可するようにすることで、ユーザが支払いを行おうとする相手方と、支払いを受けようとする決済端末の管理者との一致をも確認できるようになる。これにより、決済の正当性をより確実にすることが可能となる。
　ユーザ端末から決済装置に送られる決済端末特定情報は、各決済端末を特定するための決済端末のＩＤ自体であっても良いし、決済端末のＩＤと一対一対応をした情報（例えば決済端末が置かれた店舗名、或いは店舗名とその店舗の住所又は電話番号を加えた情報）であっても良い。ユーザ端末から決済装置に送られる決済端末特定情報が決済端末のＩＤ自体である場合には、決済装置は、各決済端末を区別するための情報として、決済端末のＩＤを記録したデータベースを備えていれば良い。それにより、決済装置の最終判定部は、決済装置にワンタイムパスワードを送ってきた決済端末が、ユーザ端末から送られてきた決済端末特定情報で特定される決済端末と一致するか否かを判定することができる。他方、ユーザ端末から決済装置に送られる決済端末特定情報が決済端末のＩＤ自体ではなく、決済端末のＩＤと一対一対応をした情報である場合には、決済装置は、各決済端末を区別するための情報として、ユーザ端末から送られてくることが予定された情報及びそれら情報と対応付けられた決済端末のＩＤとを記録したデータベースを備えていれば良い。それにより、決済装置の最終判定部は、決済装置にワンタイムパスワードを送ってきた決済端末が、ユーザ端末から送られてきた決済端末特定情報で特定される決済端末と一致するか否かを判定することができる。
　ユーザ端末で決済端末特定情報を入力する場合、ユーザ端末においては、予め準備されている、例えば幾つかの決済端末特定情報から、ユーザが、自らが支払いを行おうとしている者の決済端末を特定するための決済端末特定情報を選択することができるようになっていると便利である。例えば、ユーザ端末がディスプレイを備えているのであれば、そのディスプレイに、ユーザが選択可能な決済端末特定情報が例えば幾つか例示されるようにし、ユーザがその一つを選択することにより、ユーザが、ユーザ端末に決済端末特定情報を入力することができるようにすることができる。上述したように、ユーザ端末には、ユーザ端末が存在する位置を特定するための情報である位置情報を生成する位置情報生成手段が備えられている場合がある。かかる位置情報生成手段でその位置が特定されたユーザ端末の近くにある決済端末についての決済端末特定情報を、ユーザ端末のディスプレイに選択可能な決済端末特定情報の例として表示することとすれば、ユーザが支払いを行おうとしている決済端末の例として適切であろう。

　ユーザ端末の前記ユーザ端末入力手段は、前記決済装置の前記最終判定部が決済を許可した後において、そのユーザ端末を用いて過去に行われた決済の一つを特定しそれを取消すためのユーザ端末取消情報を入力できるようになっているとともに、前記ユーザ端末送受信手段は、前記ユーザ端末取消情報を前記ネットワークを介して前記決済装置に送るようになっていてもよい。この場合、決済装置の前記決済装置情報処理手段は、前記ユーザ端末取消情報を受付けたときに、前記ユーザ端末取消情報で特定された決済を取消す、取消手段を備えていてもよい。
　このようにすることにより、ユーザは自分の意志で、既に認められた決済を取消すことができるようになり、例えば、決済に誤りがあったときの訂正が可能となる。
　同様の効果は、以下の発明によっても得ることができる。
　決済端末の前記決済端末入力手段は、前記決済装置の前記最終判定部が決済を許可した後において、その決済端末を用いて過去に行われた決済の一つを特定しそれを取消すための決済端末取消情報を入力できるようになっているとともに、前記決済端末送受信手段は、前記決済端末取消情報を前記ネットワークを介して前記決済装置に送るようになっていてもよい。この場合、前記決済装置情報処理手段は、前記決済端末取消情報を受付けたときに、前記決済端末取消情報で特定された決済を取消す、取消手段を備えていてもよい。
　この場合には、決済端末の管理者は、自分の意志で、既に認められた決済を取消すことができるようになる。
　ユーザ端末からは上述の場合と同様にユーザ端末取消情報が、決済端末からはこれも上述の場合と同様に決済端末取消情報がそれぞれ、決済端末に送られるようにすることもできる。この場合、前記取消手段は、前記ユーザ端末取消情報と、前記決済端末取消情報とを受付け且つそれらが特定する決済が一致したときに当該決済を取消すようになっていても良い。
　この場合には、決済端末の管理者とユーザ端末を持つユーザとの意志の合致があった場合のみ、既に認められた決済を取消すことができるようになる。
　なお、以上３つの場合のいずれの場合においても、決済の取消を認めることのできる時間を制限することが可能である。例えば、決済装置で決済が認められてから１０分以内であれば決済の取消が可能、というが如きである。
　以上の決済の取消を可能とする機能は、特に以下の場合に有用である。これまでに述べたように、従来のクレジットカードにおけるクレジットカードナンバーの如くに用いられる本願発明におけるワンタイムパスワードは、基本的に一度しか使われないいわば使い捨てのものであるから、その盗用の可能性は極めて低くほとんど想定することができない。ただし、例えば、ユーザがスマートフォン等の自らのユーザ端末のディスプレイ等に表示させたワンタイムパスワードを何者かに盗み見され、そのユーザが自らの支払いにそのワンタイムパスワードを使用する前に、つまりユーザが、そのワンタイムパスワードを、ある店舗の決済端末から決済装置に送る前に、そのワンタイムパスワードを知った第三者が、例えば他店舗の決済端末から決済装置に送ってしまうことがあり得る。本願発明の決済装置では基本的に、仮許可情報を生成する場合には、ユーザが本人であることの認証を行うが、決済端末から送られてきたワンタイムパスワードにより決済を行う場合には、そのワンタイムパスワードを決済端末の管理者に渡したのがユーザ本人であるか否かの確認を必ずしも行う必要がない。したがって、正規のユーザのユーザ端末に表示されたワンタイムパスワードを盗み見た悪意の第三者が、正規のユーザよりも先にそのワンタイムパスワードを使用した場合には、決済装置はその不正を見破ることができないおそれがある。
　このような不正を防止するために、決済装置の前記最終判定部は、決済を許可しなかったときに、どの決済を許可しなかったかを特定して決済を許可しなかったことを示す不許可情報を生成して前記決済装置送受信手段に送るようになっており、前記決済装置送受信手段は、前記不許可情報を前記ネットワークを介して前記決済端末に送信するようになっていてもよい。この場合、前記不許可情報を受付けた前記決済装置は、どの決済が許可されなかったかを前記決済装置を管理者に通知するようになっていてもよい。このような決済装置と決済端末を有する決済システムにおいては、決済装置を操作するものは、自分がユーザから受取って、決済端末から決済装置に自分が送ったワンタイムパスワードで決済が行えたかどうかを知ることが、例えば不許可情報に基づいて決済端末のディスプレイに表示された内容により知ることができる。決済装置を管理者が、それをユーザに例えば口頭で知らせたのであれば、ユーザは、自らのユーザ端末を操作して上述のユーザ端末取消情報をユーザ端末に生成させ、それを決済装置に送れば良い。そうすることにより、第三者に不正に知得されたワンタイムパスワードにより決済装置で認められた決済を取消すことができる。
　なお、この場合、決済装置が不許可情報を送信する相手方は、決済端末のみで良い。なぜなら、本願発明の決済システムにおいて、第三者によりワンタイムパスワードが不正に使用されるのは、正規のユーザよりも先に第三者が正規のユーザが自らのユーザ端末で発生させたワンタイムパスワードを使用した場合のみであり、正規のユーザよりも先に悪意の第三者が使用したワンタイムパスワードによる決済は、決済装置で認められてしまうからである。つまり、悪意の第三者によるワンタイムパスワードの使用があった場合においても、決済ができたかできなかったかでいえば、ワンタイムパスワードによる決済はできてしまっているのであるから、ユーザ端末に不許可情報を送るのはそもそも不可能である。したがって、決済装置は、不許可情報を決済端末のみに送るようになっていれば良い。もっとも、決済装置は、不許可情報を決済端末に送るだけでなく、不許可情報又は同じワンタイムパスワードが２回使用されたことを示す情報（即ち、ワンタイムパスワードが不正使用されたことを示す情報）を、ユーザ端末に送るようになっていても構わない。
　これらの処理は、単に、決済装置が、決済端末から送られてきたワンタイムパスワードにより決済を行えたかどうかを、決済端末と、場合によってはユーザ端末とに通知する処理、とすることができる。決済端末の管理者は、その通知の内容により、決済が許可されたことを知ったのであれば、その旨、つまり支払いが終わったことをユーザに伝えれば良い。これは、クレジットカードを用いた決済システムでユーザが支払いを行う場合と何も変わらない。他方、通知の内容により、決済が許可されなかったことを知ったのであれば、ユーザにその旨を伝え、決済の取消と、再度のワンタイムパスワードの生成を促せば良い。これは、クレジットカードを用いた決済システムでユーザが支払いを行う場合と多少異なる手続きとなるが、かかる手続きこそが、本願の決済システムによる決済の確実性をより高める。

　本願発明者は、決済装置で実行される以下の方法も本願発明の一態様として提案する。これにより得られる効果は、上述の決済システムで得られる効果に同じである。
　その方法の一例は、所定のネットワークにそのそれぞれが接続可能とされた、情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、を含んで構成されている決済システム、を構成するための決済装置に含まれる決済装置情報処理手段にて実行される方法である。
　この方法は、前記決済装置情報処理手段が実行する。
　具体的には、この方法は、前記決済装置情報処理手段が、前記ユーザ端末において、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報が入力された後に、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とが、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信された際に、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取る過程、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する過程、生成した仮許可情報を、前記決済装置送受信手段により、前記ネットワークを介して前記ユーザ端末に送信する過程、前記仮許可情報を前記決済装置から前記ユーザ端末送受信手段にて受付けた前記ユーザ端末において、前記ユーザ端末情報処理手段が生成したワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置送受信手段で受取る過程、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置で前記仮許可情報が生成されたのと同時かその後に、前記ユーザ端末と同じワンタイムパスワードを生成することのできるようにされた前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを決済する過程、を含む。

　本願発明者は、所定のコンピュータを、本願発明の決済システムに含まれる決済装置として機能させるためのコンピュータプログラムも本願発明の一態様として提案する。これにより得られる効果は、上述の決済システムで得られる効果に同じである。
　そのコンピュータプログラムの一例は、所定のネットワークにそのそれぞれが接続可能とされた、情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、を含んで構成されている決済システム、を構成するための決済装置としてコンピュータを機能させるためのコンピュータプログラムである。
　そして、このコンピュータプログラムは、前記コンピュータに、前記ユーザ端末において、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報が入力された後に、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とが、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信された際に、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取る過程、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する過程、生成した仮許可情報を、前記決済装置送受信手段により、前記ネットワークを介して前記ユーザ端末に送信する過程、前記仮許可情報を前記決済装置から前記ユーザ端末送受信手段にて受付けた前記ユーザ端末において、前記ユーザ端末情報処理手段が生成したワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置送受信手段で受取る過程、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置で前記仮許可情報が生成されたのと同時かその後に、前記ユーザ端末と同じワンタイムパスワードを生成することのできるようにされた前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを決済する過程、を実行させるようになっている。

第１実施形態による決済システムの全体構成を示す図。図１に示した決済システムに含まれるユーザ端末の外観を示す図。図１に示した決済システムに含まれるユーザ端末のハードウェア構成を示す図。図１に示した決済システムに含まれるユーザ端末の内部に生成される機能ブロックを示すブロック図。図１に示した決済システムに含まれる決済装置のハードウェア構成を示す図。図１に示した決済システムに含まれる決済装置の内部に生成される機能ブロックを示すブロック図。図６に示した与信情報記録部に記録されているデータの例を示す図。図６に示した位置情報記録部に記録されているデータの例を示す図。図６に示したＯＴＰ情報記録部に記録されているデータの例を示す図。図１に示した決済システムに含まれる決済端末のハードウェア構成を示す図。図１に示した決済システムに含まれる決済端末の内部に生成される機能ブロックを示すブロック図。図１に示した決済システムに含まれるユーザ端末のディスプレイに表示される画像の一例を示す図。図１に示した決済システムに含まれるユーザ端末のディスプレイに表示される画像の他の例を示す図。図１に示した決済システムに含まれる決済端末のディスプレイに表示される画像の一例を示す図。図１に示した決済システムで決済が行われるときに実行される処理の流れを示す図。図１に示した決済システムで決済の取消が行われるときに決済端末のディスプレイに表示される画像の一例を示す図。第２実施形態の決済システムに含まれる決済端末のディスプレイに表示される画像の一例を示す図。第２実施形態の決済システムに含まれるユーザ端末の内部に生成される機能ブロックを示すブロック図。第２実施形態の決済システムに含まれるユーザ端末のディスプレイに表示される画像の一例を示す図。第１実施形態で用いられる金券の一例を示す図。第１実施形態で用いられる金券の他の例を示す図。

　以下、本発明の第１～第２実施形態について説明する。各実施形態、変形例の説明で同じ対象には同一の符号を付すものとし、重複する説明は場合により省略するものとする。

≪第１実施形態≫
　図１に、第１実施形態の決済システムの全体構成を概略で示す。
　決済システムは、複数のユーザ端末１００－１～１００－Ｎ（以後、単に、「ユーザ端末１００」と記載する場合もある。）、決済装置２００及び決済端末３００－１～３００－ｎ（以後、単に、「決済端末３００」と記載する場合もある。）を含んで構成されている。これらはすべて、ネットワーク４００に接続可能とされている。
　ネットワーク４００は、これには限られないが、この実施形態ではインターネットである。

　ユーザ端末１００は、本願でいうユーザ端末に相当するものであり、コンピュータを含んでいる。より詳細には、この実施形態におけるユーザ端末１００は、汎用のパーソナルコンピュータにより構成されている。この実施形態では、各ユーザがユーザ端末１００をそれぞれ１つずつ所有するものとして説明を行うが、一人のユーザが複数のユーザ端末１００を所有しても構わない。クレジットカードを用いた決済システムで例えるのであれば、１人で複数のクレジットカードを所有するようなものである。もっとも、一つのユーザ端末１００に、例えば異なる決済装置３００の管理者が配布した異なるコンピュータプログラム（これについては、後述する。）を複数インストールすること等により、ユーザは、１つのユーザ端末１００を所有するだけで、ユーザが、複数の決済装置２００における決済を一つのユーザ端末１００で行えるようにすることも可能である。これは、従来のクレジットカードを用いた決済システムにおいて、ユーザが複数のクレジットカードを所持しているのと同様の状態である。しかしながら、本願発明によればユーザは、物理的に嵩張るクレジットカードを、複数枚所持する必要はない。

　次に、ユーザ端末１００の構成を説明する。各ユーザ端末１００－１～１００－Ｎの構成は、本願発明との関連でいえば同じである。
　ユーザ端末１００は、携帯電話、スマートフォン、タブレット、ノート型パソコン、デスクトップ型パソコン等である。可搬であり、且つ後述するプログラムをインストールするのに向いているという点を考慮すれば、これらのうち、特に、スマートフォンかタブレットが、ユーザ端末１００として用いるのに好ましい。スマートフォンは例えば、Ａｐｐｌｅ　Ｊａｐａｎ合同会社が製造、販売を行うｉＰｈｏｎｅである。タブレットの例はＡｐｐｌｅ　Ｊａｐａｎ合同会社が製造、販売を行うｉＰＡＤである。以下、これには限られないが、ユーザ端末がスマートフォンであることとして話を進める。

　ユーザ端末１００の外観の一例を図２に示す。
　ユーザ端末１００は、ディスプレイ１０１を備えている。ディスプレイは、静止画又は動画を表示するためのものであり、公知、或いは周知のものを用いることができる。ディスプレイ１０１は例えば、液晶ディスプレイである。ユーザ端末１００は、また入力装置１０２を備えている。入力装置１０２は、ユーザが所望の入力をユーザ端末１００に対して行うためのものである。入力装置１０２は、公知或いは周知のものを用いることができる。この実施形態におけるユーザ端末１００の入力装置１０２はボタン式のものとなっているが、これには限られず、テンキー、キーボード、トラックボール、マウスなどを用いることも可能である。また、ディスプレイ１０１がタッチパネルである場合、ディスプレイ１０１は入力装置１０２の機能を兼ねることになり、この実施形態ではそうされている。

　ユーザ端末１００のハードウェア構成を、図３に示す。
　ハードウェアには、ＣＰＵ（central processing unit）１１１、ＲＯＭ（read only memory）１１２、ＲＡＭ（random access memory）１１３、インターフェイス１１４が含まれており、これらはバス１１６によって相互に接続されている。
　ＣＰＵ１１１は、演算を行う演算装置である。ＣＰＵ１１１は、例えば、ＲＯＭ１１２に記録されたコンピュータプログラムを実行することにより、後述する処理を実行する。なお、ここでいうコンピュータプログラムには、本願発明のユーザ端末としてこのユーザ端末１００を機能させるためのコンピュータプログラムが少なくとも含まれる。このコンピュータプログラムは、ユーザ端末１００にプリインストールされていたものであっても良いし、事後的にインストールされたものであっても良い。このコンピュータプログラムのユーザ端末１００へのインストールは、メモリカード等の所定の記録媒体を介して行なわれても良いし、ＬＡＮ或いはインターネットなどのネットワークを介して行なわれても構わない。
　ＲＯＭ１１２は、ＣＰＵ１１１が後述する処理を実行するために必要なコンピュータプログラムやデータを記録している。ＲＯＭ１１２に記録されたコンピュータプログラムは、これに限られず、ユーザ端末１００がスマートフォンであれば、ユーザ端末をスマートフォンとして機能させるために必要な、例えば、通話や電子メールを実行するためのコンピュータプログラムやデータが記録されている。ユーザ端末１００は、また、ネットワーク４００を介して受取ったデータに基づいて、ホームページを閲覧することも可能とされており、それを可能とするための公知のｗｅｂブラウザを実装している。
　ＲＡＭ１１３は、ＣＰＵ１１１が処理を行うために必要なワーク領域を提供する。
　インターフェイス１１４は、バス１１６で接続されたＣＰＵ１１１やＲＡＭ１１３等と外部との間でデータのやり取りを行うものである。インターフェイス１１４には、上述のディスプレイ１０１と、入力装置１０２とが接続されている。入力装置１０２から入力された操作内容は、インターフェイス１１４からバス１１６に入力されるようになっているとともに、後述する画像データは、インターフェイス１１４から、ディスプレイ１０１に出力されるようになっている。インターフェイス１１４は、また、いずれも図示を省略する、ＧＰＳ機構と、送受信部とに接続されている。
　ＧＰＳ機構は、地球上におけるユーザ端末１００が存在する位置を検出するものである。ＧＰＳ機構は、検出したユーザ端末１００の位置を特定する位置情報を生成するようになっている。ＧＰＳ機構は、公知又は周知のものであり、例えば静止衛星からの電波を受取ることにより、ユーザ端末１００の位置を検出するようになっている。位置情報は、インターフェイス１１４により受取られるようになっている。
　送受信部は、インターネットであるネットワーク４００を介してのデータの送受信を行うものである。かかる通信は、有線で行われる場合もあるが、ユーザ端末１００がスマートフォンである場合には、かかる通信は無線で行われる。それが可能な限り、送受信部の構成は、公知或いは周知のものとすることができる。送受信部がネットワーク４００から受取ったデータは、インターフェイス１１４により受取られるようになっており、インターフェイス１１４から送受信部にわたされたデータは、送受信部によって、ネットワーク４００を介して外部、例えば、決済装置２００に送られるようになっている。

　ＣＰＵ１１１がコンピュータプログラムを実行することにより、ユーザ端末１００内部には、図４で示されたような機能ブロックが生成される。なお、以下の機能ブロックは、ユーザ端末１００を本願発明のユーザ端末として機能させるための上述のコンピュータプログラム単体の機能により生成されていても良いが、上述のコンピュータプログラムと、ユーザ端末１００にインストールされたＯＳその他のコンピュータプログラムとの協働により生成されても良い。
　ユーザ端末１００内には、本願発明の機能との関係で、以下のような制御部１２０が生成され、制御部１２０内に、主制御部１２１、表示制御部１２２、データ入出力部１２３、ＯＴＰ生成部１２４が生成される。

　制御部１２０は、以下に説明するような情報処理を実行する。
　主制御部１２１は、制御部１２０内の全体的な制御を行う。例えば、主制御部１２１は、追って詳述するデータ入出力部１２３から受取ったデータに基づいて表示制御部１２２の制御を行う。
　主制御部１２１は、追って説明するデータ入出力部１２３から、これも追って説明する仮許可情報を受取った場合に、その旨をＯＴＰ生成部１２４に通知するようになっている。主制御部１２１は、また、データ入出力部１２３から、後述するユーザＩＤとパスワードとを受取るようになっている。主制御部１２１は、また、データ入出力部１２３から、後述するユーザ端末取消情報を受取る場合がある。また、主制御部１２１は、図示を省略のメモリ等からなる記録手段を内蔵しており、そこに、端末情報を記録している。端末情報の例としては、ユーザ端末１００がスマートフォンである場合における当該スマートフォンに組込まれたＳＩＭカード（Subscriber Identity Module Card）に記録されたＩＤ番号や、スマートフォンの製造番号等の個体識別番号を挙げることができる。主制御部１２１は、これら端末情報のうちの少なくとも一つを、ユーザ端末１００から予め取得しておく。なお、主制御部１２１は、端末情報を、ユーザが支払いの処理を行う都度、ユーザ端末１００から取得するようになっていても構わない。いずれにせよ、主制御部１２１は、後述するタイミングで、ユーザＩＤとパスワードとそして端末情報とを、データ入出力部１２３に送るようになっている。
　主制御部１２１は、また、ＯＴＰ生成部１２４から、ワンタイムパスワードを受取るようになっている。主制御部１２１は、受取ったワンタイムパスワードを、データ入出力部１２３に送るようになっている。
　表示制御部１２２は、主制御部１２１の制御を受けつつ、ディスプレイ１０１に表示される画像の制御を行う。ディスプレイ１０１には、表示制御部１２２から送られたデータに基づく画像が表示される。主制御部１２１は、表示制御部１２２に対して、ディスプレイ１０１にどのような画像を表示させるべきかという指示を送る。

　データ入出力部１２３は、制御部１２０へのデータの入出力を行うものである。具体的には、データ入出力部１２３は、入力装置１０２からの入力を受取るようになっている。入力装置１０２からデータ入出力部１２３へ入力されるのは、例えば、決済の開始の指示、ユーザＩＤ及びパスワード、金額情報、ユーザＩＤ、パスワード、金額情報の送信の指示、ユーザ端末取消情報である。これらは主制御部１２１に送られるようになっている。
　また、データ入出力部１２３は、送受信部から、追って説明する、決済装置２００からネットワーク４００を介して送られて来た仮許可情報を受取るようになっている。データ入出力部１２３は、受取った仮許可情報を、主制御部１２１に送るようになっている。
　また、データ入出力部１２３は、ＧＰＳ機構から、位置情報を受取るようになっている。データ入出力部１２３は、受取った位置情報を主制御部１２１に送るようになっている。
　また、データ入出力部１２３は主制御部１２１から、ユーザＩＤ、パスワード、端末情報、及び金額情報を受取るようになっている。ユーザＩＤは、ユーザを特定するための情報であり、これには限られないがこの実施形態では、後述するように所定の文字数の英数字の羅列とされている。パスワードは、ユーザの認証をより確実にするための情報であり、これには限られないがこの実施形態では、後述するように所定の文字数の英数字の羅列とされている。端末情報は、ユーザ端末１００を特定するための情報であり、これもユーザの認証をより確実にすることを目的とする。これには限られないがこの実施形態における端末情報は、後述するように所定の文字数の数字の羅列とされている。金額情報は、ユーザが、決済端末３００の管理者に支払いを行おうとする金額を特定するための情報であり、所定の単位（円、ドル、ユーロ等）の金額を表す数字である。データ入出力部１２３には、また、主制御部１２１から、位置情報と、ワンタイムパスワードとが送られるようになっている。なお、位置情報は、データ入出力部１２３から主制御部１２１を経てデータ入出力部１２３に戻されるのではなく、ＧＰＳ機構からデータ入出力部１２３に入力された状態のまま、データ入出力部１２３にて保持されていても構わない。また、ワンタイムパスワードは、主制御部１２１を経ずに、ＯＴＰ生成部１２４から直接データ入出力部１２３に送られるようになっていても構わない。ユーザ端末取消情報は、後述するようにして既に終了した過去の決済の一つを取消すためのユーザの意思表示を示す情報であり、入力装置１０２を用いてユーザが入力するものである。ユーザ端末取消情報には、ユーザが取消を望む過去の決済の一つを特定する情報が少なくとも含まれている。
　ユーザＩＤ、パスワード、端末情報、金額情報、位置情報、ワンタイムパスワード、ユーザ端末取消情報等は、それぞれについて適切な後述するタイミングで、データ入出力部１２３から、送受信部に送られるようになっており、送受信部からネットワーク４００を介して、決済装置２００に送られるようになっている。

　ＯＴＰ生成部１２４は、上述したように、主制御部１２１が仮許可情報を受取った場合、主制御部１２１からその旨を通知されるようになっている。その通知を受けた場合に、ＯＴＰ生成部１２４はワンタイムパスワードを生成するようになっている。ワンタイムパスワードの生成の仕方は従来技術に倣うことができる。ワンタイムパスワードの生成の仕方の具体例については、後述する。

　次に、決済装置２００について説明する。
　決済装置２００は一般的なコンピュータである。ハードウェア構成としては、従来の決済システムにおける決済装置と同等のもので良い。

　決済装置２００のハードウェア構成を、図５に示す。
　ハードウェアには、ＣＰＵ２１１、ＲＯＭ２１２、ＲＡＭ２１３、インターフェイス２１４が含まれており、これらはバス２１６によって相互に接続されている。
　ＣＰＵ２１１は、演算を行う演算装置である。ＣＰＵ２１１は、例えば、ＲＯＭ２１２に記録されたコンピュータプログラムを実行することにより、後述する処理を実行する。なお、ここでいうコンピュータプログラムには、本願発明の決済装置としてこの決済装置２００を機能させるためのコンピュータプログラムが少なくとも含まれる。このコンピュータプログラムは、決済装置２００にプリインストールされていたものであっても良いし、事後的にインストールされたものであっても良い。このコンピュータプログラムの決済装置２００へのインストールは、メモリカード等の所定の記録媒体を介して行なわれても良いし、ＬＡＮ或いはインターネットなどのネットワークを介して行なわれても構わない。
　ＲＯＭ２１２は、ＣＰＵ２１１が後述する処理を実行するために必要なコンピュータプログラムやデータを記録している。ＲＯＭ２１２に記録されたコンピュータプログラムは、これに限られず、他の必要なコンピュータプログラムが記録されていても良い。
　ＲＡＭ２１３は、ＣＰＵ２１１が処理を行うために必要なワーク領域を提供する。
　インターフェイス２１４は、バス２１６で接続されたＣＰＵ２１１やＲＡＭ２１３等と外部との間でデータのやり取りを行うものである。インターフェイス２１４は、少なくとも送受信部に接続されている。送受信部がネットワーク４００から受取ったデータは、インターフェイス２１４により受取られるようになっており、インターフェイス２１４から送受信部にわたされたデータは、送受信部によって、ネットワーク４００を介して外部、例えば、ユーザ端末１００に送られるようになっている。

　ＣＰＵ２１１がコンピュータプログラムを実行することにより、決済装置２００内部には、図６で示されたような機能ブロックが生成される。なお、以下の機能ブロックは、決済装置２００を本願発明の決済装置として機能させるための上述のコンピュータプログラム単体の機能により生成されていても良いが、上述のコンピュータプログラムと、決済装置２００にインストールされたＯＳその他のコンピュータプログラムとの協働により生成されても良い。
　決済装置２００内には、本願発明の機能との関係で、以下のような制御部２２０が生成される。制御部２２０内には、データ入出力部２２１、主制御部２２２、与信判定部２２３、与信情報記録部２２４、最終判定部２２５、位置情報記録部２２６、ＯＴＰ生成部２２７、ＯＴＰ情報記録部２２８が生成される。

　データ入出力部２２１は、制御部２２０へのデータの入出力を行うものである。具体的には、データ入出力部２２１は、主制御部２２１から後述する種々のデータを受付けるようになっている。主制御部２２２から受付けた種々のデータを、データ入出力部２２１は、送受信部に渡すようになっており、送受信部はそれらデータを、ネットワーク４００を介してユーザ端末１００又は決済端末３００に送るようになっている。
　データ入出力部２２１は、また、ネットワーク４００を介してユーザ端末１００又は決済端末３００から送受信部が受取った後述する種々のデータを送受信部から受取り、受取ったそれらデータを主制御部２２２に送るようになっている。

　主制御部２２２は、制御部２２０内の全体的な制御を行う。
　主制御部２２２は、データ入出力部２２１から、ユーザＩＤとパスワードとそして端末情報とを受取る場合がある。主制御部２２２がそれらを受取った場合、主制御部２２２は、それらを与信判定部２２３へと送るようになっている。
　主制御部２２２は、データ入出力部２２１から、ユーザ端末１００から送られてきた位置情報を受取る場合がある。主制御部２２２は、この位置情報を受取った場合には、それを最終判定部２２５に送るようになっている。
　主制御部２２２は、また、与信判定部２２３から、後述する仮許可情報を受取る場合がある。主制御部２２２がそれを受取った場合、主制御部２２２は、それをデータ入出力部２２１へと送るようになっている。主制御部２２２は、また、データ入出力部２２１から、それらのいずれもが決済端末３００から送られてきたものである、共に後述する決済申込情報と、ワンタイムパスワードと、ユーザＩＤとを受取る場合がある。主制御部２２２がそれらを受取った場合、主制御部２２２は、それらを最終判定部２２５へと送るとともに、ワンタイムパスワードを生成せよとの指示をＯＴＰ生成部２２７へと送るようになっている。
　主制御部２２２は、また、ＯＴＰ生成部２２７からワンタイムパスワードを受取る場合がある。主制御部２２２がそれを受取った場合、主制御部２２２は、それを最終判定部２２５へと送るようになっている。なお、ワンタイムパスワードは、必ずしも主制御部２２２を介して最終判定部２２５へと送られる必要はなく、例えばＯＴＰ生成部２２７から直接最終判定部２２５へと送られるようになっていても構わない。
　主制御部２２２は、また、最終判定部２２５から、後述する最終判定データを受取る場合がある。主制御部２２２は、それを受取った場合、決済処理を行うようになっている。決済処理は、あるユーザから、そのユーザへの支払いを求めるための仮許可情報を送信してきた決済端末３００の管理者への決済を認めるための処理である。主制御部２２２は、どのような決済を行ったかというデータを保持するようになっている。例えば、主制御部２２２は、誰から誰への幾らの支払いを最終的に許可したのかという情報を、各ユーザ毎に図示せぬ記録媒体に記録するようになっている。
　主制御部２２２は、データ入出力部２２１から、ユーザ端末取消情報と、後述する決済端末取消情報とを受取る場合がある。主制御部２２２がそれらを受取った場合であって、且つそれらユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一の場合には、主制御部２２２は当該過去の決済を取消すための処理を行うようになっている。もっとも、かかる決済の取消の処理は、必ずしも必須のものではなく、決済の取消の処理が不要なのであれば、ユーザ端末１００、決済装置２００、決済端末３００からかかる処理にのみ必要な機能を削除することも可能である。なお、この実施形態においては、主制御部２２２は、ユーザ端末取消情報と、後述する決済端末取消情報との双方を受取り、且つそれらユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一の場合にのみ過去の決済を取消すこととしていたが、これに代えて、主制御部２２２は、ユーザ端末取消情報と決済端末取消情報のいずれか一方のみを受付けたときに、そのユーザ端末取消情報又は決済端末取消情報で特定される過去の決済を取消すようになっていても構わない。また、主制御部２２２は、過去の決済のうち、比較的新しいものについてのみ決済の取消を行うようになっていても良い。例えば、主制御部２２２は、上述の決済の処理が終了してから１０分以内のものに限り、決済の取消を認めるようになっていても良い。

　与信判定部２２３は、上述したように、主制御部２２２からユーザＩＤとパスワードとそして端末情報とを受取るようになっている。与信判定部２２３は、それらを受取った場合、与信判定を行うようになっている。与信判定は、ユーザＩＤとパスワードとそして端末情報で特定されるユーザについての、上記金額情報で特定される金額の支払いの決済が可能か否かの判定である。かかる与信判定には、ユーザが正当なものであるか否かのいわゆる認証の処理も含まれる。
　与信判定部２２３は、与信情報記録部２２４に記録されているデータを、認証の処理を含む与信判定のために利用する。

　与信情報記録部２２４には、図７に示したようなデータが記録されている。
　これには限られないが、この実施形態で与信情報記録部２２４に記録されているのは、ユーザＩＤ、パスワード、端末情報、及び与信残高である。これらは、各ユーザ毎に紐付けられている。なお、これらに加えて、ユーザそれぞれの本名や、電話番号、電子メールアドレス等が記録されていても構わないのは当然である。
　ユーザＩＤは、各ユーザを特定するための情報である。これには限られないが、この実施形態におけるユーザＩＤは、所定の文字数の英数字の羅列となっている。ユーザＩＤは、各ユーザが決定するか、さもなくば決済装置２００の管理者が決定する。ユーザＩＤがユーザにより決定される場合には、公知又は周知の方法によって、ユーザＩＤはユーザから決済装置２００の管理者に通知され、通知されたユーザＩＤが与信情報記録部２２４に記録される。
　パスワードは、各ユーザの正当性を確認するための情報である。これには限られないが、この実施形態におけるパスワードは、所定の文字数の英数字の羅列となっている。パスワードは、各ユーザが決定する。パスワードは、公知又は周知の方法によって、ユーザから決済装置２００の管理者に通知され、通知されたパスワードが与信情報記録部２２４に記録される。
　端末情報は、各ユーザの正当性を更に強固に確認するための情報である。その具体例がＳＩＭカードに記録されたＩＤ番号や、スマートフォンの製造番号等であることは、既に述べた通りである。端末情報は、ユーザ端末１００毎にユニークに決定されている。端末情報は、公知又は周知の方法によって、例えばユーザから、決済装置２００の管理者に通知され、通知された端末情報が与信情報記録部２２４に記録される。
　与信残高は、各ユーザ毎に決められた、ユーザが後幾らの支払いを、この決済システムを用いて行うことができるか、という残高である。例えば、各ユーザ毎に各ユーザの信用に応じて決められた、クレジットカードを用いた決済システムで使用されていたのと同様の概念による各ユーザ毎の「限度額」から、ユーザが支払いに既に使用した金額を控除することにより、与信残高は決定される。

　与信判定部２２３は、主制御部２２２からユーザＩＤとパスワードとそして端末情報とを受取ると、受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び与信残高を、与信情報記録部２２４から読み出す。与信判定部２２３が受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に存在しない場合には、パスワード等の情報を与信判定部２２３は、与信情報記録部２２４から読み出さない。この場合には、与信判定部２２３は、与信判定の処理を中止する。
　与信判定部２２３が主制御部２２２から受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に記録されており、受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び与信残高が与信情報記録部２２４から読み出された場合には、与信判定部２２３は、主制御部２２２から受取ったパスワード及び端末情報が、与信情報記録部２２４から読み出されたパスワード及び端末情報と同じか否か判定するようになっている。それらが共に一致したのであれば、与信判定部２２３は、そのユーザＩＤ等を送って来たユーザが正当なユーザであると認証し、パスワード及び端末情報の少なくとも一方が一致しなかったのであれば、そのユーザＩＤ等を送って来たユーザが正当なユーザでないと判定して、与信判定の処理を中止する。ここまでが、認証の処理である。認証の処理で、そのパスワードを送って来たユーザが正当なユーザであると認証された場合には、与信判定部２２３は、ユーザの求める決済を認めて良いか否かについての与信の判定を行う。
　与信の判定は、ユーザ端末１００から送信されてきた金額情報と、その金額情報と紐付けられていたユーザＩＤと紐付けられていた、上記与信情報記録部２２４から読み出された与信残高とを比較することにより行われる。これには限られないが、この実施形態では、与信残高の方が、金額情報で特定される金額と同じかそれよりも大きい場合に、ユーザの求める決済が認められる。その場合には、与信判定部２２３は、仮許可情報を生成する。他方、与信残高が、金額情報で特定される金額よりも小さい場合には、ユーザの求める決済は認められない。この場合には、与信判定部２２３は仮許可情報を生成しない。与信判定部２２３が仮許可情報を生成した場合には、その仮許可情報は主制御部２２２に送られるようになっている。
　また、与信判定部２２３は時刻を特定する機能を有しており（通常のコンピュータが有する時計の機能を利用しても良い。）、与信判定を行った時刻を特定するための時刻情報を主制御部２２２に通知するようになっている。かかる時刻情報は、主制御部２２２から最終判定部２２５に送られるようになっている。

　最終判定部２２５は、上述したように、主制御部２２２から、ユーザ端末１００から送られてきた位置情報を受取る場合がある。主制御部２２２は、また、データ入出力部２２１から、それらのいずれもが決済端末３００から送られてきたものである、決済申込情報と、ユーザＩＤと、ワンタイムパスワードとを受取る場合がある。これには限られないがこの実施形態では、決済申込情報と、ユーザＩＤと、ワンタイムパスワードは、決済端末３００から決済装置２００にまとめて送られ、それら３つの情報は、最終判定部２２５にまとめて受取られる。最終判定部２２５は、決済申込情報、ユーザＩＤ、及びワンタイムパスワードを受取った場合に、最終判定の処理を行う機能を有する。最終判定は、ユーザが希望した、決済端末３００の管理者への支払いを最終的に認めるか否かについての判定である。
　最終判定部２２５は、位置情報記録部２２６に記録されている情報を、最終判定を行うために利用する。また、ＯＴＰ生成部２２７から主制御部２２２を経て提供されるワンタイムパスワードも、最終判定に利用する。

　位置情報記録部２２６には、図８に示したように、決済端末ＩＤと、位置情報とが互いに紐付けた状態で記録されている。
　決済端末ＩＤは、各決済端末３００を区別し、特定するためのものである。この実施形態における決済端末３００はｎ個であるので、もちろんこれには限られないが、この実施形態では、自然数である１～ｎの連番を、各決済端末３００を特定するための決済端末ＩＤとして用いることとしている。
　位置情報は、それと紐付けられた決済端末３００が存在する位置を特定するための情報である。この実施形態における位置情報は、緯度と経度とで、決済端末３００の位置を特定することとしている。図８において、「Ｎ」又は「Ｓ」の文字が付された左側に位置する数字は、前者が北緯、後者が南緯である緯度を、「Ｅ」又は「Ｗ」の文字が付された右側に位置する数字は、前者が東経、後者が西経である経度を、それぞれ特定するものとなっている。もっとも、位置情報の形式は、緯度と経度の組合せに限らない。なお、ユーザ端末１００のＧＰＳ機構で生成される位置情報も、この実施形態では同様の形式となっている。
　なお、図８において、決済端末ＩＤが４のものには、位置情報が設定されていない。例えば、決済端末３００がインターネット上の仮想店舗の決済に用いられるものである場合には、後述する理由で、決済端末３００の位置を特定することにあまり意味が無い。そのような決済端末３００については位置情報の設定がなされないこともあり得る。
　位置情報は、例えば、決済端末３００の管理者が、決済端末３００を設置する際に決済装置２００の管理者に、電子メールや書簡等の適当な手段で通知することにより決済装置２００の管理者に知らせることが可能である。決済装置２００の管理者は、通知された位置情報を各決済端末３００の決済端末ＩＤに紐づけて位置情報記録部２２６に記録すれば良い。
　上述した決済申込情報には、その決済申込情報を送信した決済端末３００の決済端末ＩＤが付されている。最終判定部２２５は、決済申込情報とワンタイムパスワードとを受取ったときに、その決済申込情報に付された決済端末ＩＤと一致する決済端末ＩＤに紐付けられた位置情報を、位置情報記録部２２６から読み出すようになっている。

　ＯＴＰ生成部２２７は、ワンタイムパスワードを生成する機能を有している。
　上述したように、主制御部２２２は、データ入出力部２２１から、決済申込情報と、ワンタイムパスワードとを受取ると、ワンタイムパスワードを生成せよとの指示をＯＴＰ生成部２２７へと送る。この指示を受取るとＯＴＰ生成部２２７は、ワンタイムパスワードを生成する。なお、この実施形態では、決済装置２００でワンタイムパスワードが生成されるタイミングは、決済申込情報と、ユーザ端末で生成されたワンタイムパスワードとを決済装置２００が受取った後であるが、これはこの限りではない。決済装置２００は例えば、仮許可情報が生成されると同時かそれ以降であって、最終判定部２２５が最終判定を行うよりは前の適当なタイミングで、ＯＴＰ生成部２２７にワンタイムパスワードを作らせるようになっていれば良い。
　ワンタイムパスワードの生成の仕方は従来技術に倣えばよいが、その具体例は、例えば以下の通りである。
　ワンタイムパスワードを生成するには、ある初期値（２つ以上の場合もある）を用い、過去の値を所定の関数に代入することにより、新しい値を順次作るという方法をワンタイムパスワードが必要となる度に実行すれば良い。そうすることにより、上記「値」であるワンタイムパスワードを連続して生成することができる。このようなワンタイムパスワードは、初期値依存性のある擬似乱数となる。
　上述の「値」を作るのに使われる関数の例として、以下の（ａ）～（ｃ）を挙げる。以下の（ａ）～（ｃ）はいずれも、Ｎ番目の「値」であるＸ_Ｎを作るための式である。また、Ｐ、Ｑ、Ｒ、Ｓは自然数である。
（ａ）（Ｘ_Ｎ）＝（Ｘ_Ｎ－１）^Ｐ＋（Ｘ_Ｎ－２）^Ｑ
（ｂ）（Ｘ_Ｎ）＝（Ｘ_Ｎ－１）^Ｐ
（ｃ）（Ｘ_Ｎ）＝（Ｘ_Ｎ－１）^Ｐ（Ｘ_Ｎ－２）^Ｑ（Ｘ_Ｎ-3）^R（Ｘ_Ｎ－4）^S
　（ａ）は、過去の「値」２つを用い、それらをそれぞれＰ乗とＱ乗したものを足し合わせることにより、新しい「値」を生成する。なお、正確には、過去の「値」２つを用い、それらをＰ乗とＱ乗したものを足し合わせると、桁数が増えるため、実際には得られた値のうちの頭から適当な桁数を抜き出す、末尾から適当な桁数を抜き出す、或いはその値のうちの適当な部分から適当な桁数を抜き出すこと等により、新しい「値」を生成する。
　（ｂ）は、過去の「値」１つを用い、それをＰ乗したものの桁数を上述のように整理したものを新しい「値」とするものである。
　（ｃ）は、過去の「値」４つを用い、それらをそれぞれＰ乗、Ｑ乗、Ｒ乗、Ｓ乗したものの積を取り、その後上述したように桁数を整理したものを新しい「値」とするものである。
　上述の（ａ）～（ｃ）はワンタイムパスワードを生成するためのアルゴリズムの一例であり、ワンタイムパスワードを生成する際にアルゴリズムに変化を加える、例えば、上述の（ａ）～（ｃ）を順番に用いる等の変化を加えることも可能である。
　ＯＴＰ生成部２２７は、ワンタイムパスワードを生成するにあたって、ＯＴＰ情報記録部２２８に記録されているデータを利用する。ＯＴＰ情報記録部２２８には、例えば、図９に記載したようなデータが記録されている。ＯＴＰ情報記録部２２８に記録されているのは、ユーザＩＤ、初期値、生成回数である。これらのうち、必須のものは初期値のみである。
　ＯＴＰ情報記録部２２８に記録されているユーザＩＤは、与信情報記録部２２４に記録されているユーザＩＤと同じものであり、各ユーザを特定するためのものである。
　初期値は、ワンタイムパスワードを生成する場合に用いられる初期値である。
　初期値は、各ユーザ端末１００毎に異なるものとなっている。各ユーザ端末１００のＯＴＰ生成部１２４で生成されるワンタイムパスワードと同じワンタイムパスワードを、決済装置２００のＯＴＰ生成部２２７で生成できるようにするため、各ユーザ端末１００に与えられた初期値と同じ初期値が、ＯＴＰ情報記録部２２８に記録されている。上述したように、ワンタイムパスワードは初期値依存性のある擬似乱数となる。言い換えれば、あるユーザ端末１００用のワンタイムパスワードは、同じ順番のもの同士を比較すれば、常に同じものとなるようになっている。したがって、各ユーザ端末１００に持たせた初期値と同じワンタイムパスワードを決済装置２００において準備しておけば、決済装置２００は、どのユーザ端末１００におけるワンタイムパスワードをも再現できることになる。この実施形態では、ＯＴＰ情報記録部２２８に記録されている初期値は、各ユーザ端末１００について２つである。これは、これには限られないがこの実施形態では、過去の２つの「値」を利用して新しい「値」を生成する、上述した（ａ）の数式を用いてワンタイムパスワードを生成するからである。ＯＴＰ情報記録部２２８には、新しい「値」を生成するのに必要なだけの過去の値、即ちワンタイムパスワードを記録しておけば足りる。
　生成回数は、そのユーザ端末１００用のワンタイムパスワードを何回生成したかを示す数値である。上述したように、ワンタイムパスワードは乱数ではあるが、擬似乱数である。生成回数０回のときは、初期値を用いて１番目に生成されるワンタイムパスワードが後述する最終判定に用いられ、生成回数が１回のときは、上述の初期値を用いて２番目に生成されるワンタイムパスワードが最終判定に用いられ、生成回数がＮ回のときは、上述の初期値を用いてＮ－１番目に生成されるワンタイムパスワードが最終判定に用いられるようになっている。
　ＯＴＰ生成部２２７は、主制御部２２２から、ワンタイムパスワードを生成せよとの指示を受けると、ワンタイムパスワードとともに受取ったユーザＩＤと紐付けられている初期値と、生成回数とを、ＯＴＰ情報記録部２２８から読み出す。ＯＴＰ生成部２２７は、上述した数式（ａ）に初期値を代入して、読み出した生成回数がＮのときに、Ｎ－１番目までの値を生成する。それが、最終判定に使用されるワンタイムパスワードとなる。
　なお、ユーザ端末１００のＯＴＰ生成部１２４でも、同様の方法でワンタイムパスワードが生成される。上述したようにユーザ端末１００のＯＴＰ生成部１２４は、決済装置２００のＯＴＰ情報記録部２２８に記録されたのと同じ初期値を持っており、また決済装置２００のＯＴＰ生成部２２７で使用されるのと同じ数式（この実施形態の場合であれば、数式（ａ））を使用できるようになっており、且つＯＴＰ情報記録部１２８に記録されるのと同じように、過去に何回「値」を生成したかということを特定する生成回数の記録を行えるようになっている。それにより、ユーザ端末１００と決済装置２００とで生成されるワンタイムパスワードは、常に同期させることができる。
　このように、ワンタイムパスワードを生成する２つの装置で同じワンタイムパスワードを生成する、或いはワンタイムパスワードを同期させるために、２つの装置で同じ順番で生成されたワンタイムパスワードを用いる方法を一般に、イベント同期と呼ぶ。上述の方法は、イベント同期を用いたワンタイムパスワードの手法を採用したものである。他方、ワンタイムパスワードを同期させるために、時刻の情報を用いることもできる。このようなワンタイムパスワードの同期方法を一般に、時刻同期と呼ぶ。イベント同期も、時刻同期も公知の技術であり、いずれかを用いることにより、ワンタイムパスワードを同期させることも可能である。
　いずれにせよ、ＯＴＰ生成部２２７は、生成したワンタイムパスワードを、主制御部２２２を介して、最終判定部２２５に送る。また、ＯＴＰ生成部２２７は、ＯＴＰ情報記録部２２８に記録されていた、そのユーザ端末１００用のワンタイムパスワードが作られたユーザ端末１００のユーザＩＤと紐付けられていた、生成回数を＋１するように書き換える。

　なお、ＯＴＰ情報記録部２２８に記録されるべき情報のうち、必須なのは初期値のみであると上述した。その場合、ユーザ端末１００で生成されるワンタイムパスワードと、決済装置２００で生成されるワンタイムパスワードとは以下のようにして同期される。
　まず、生成回数の情報がない場合である。この場合、決済装置２００のＯＴＰ生成部２２７は、新しい「値」を生成するたびに、古いものから「値」を消去して、それを一つ新しい「値」で上書きするという処理を繰り返す。同様の処理をユーザ端末１００でも繰り返すことにより、過去何回「値」を生成したかという生成回数の情報を用いずとも、ユーザ端末１００で生成されるワンタイムパスワードと、決済装置２００で生成されるワンタイムパスワードとを同期させることが可能となる。
　次にユーザＩＤがない場合である。ユーザＩＤが存在しない場合には、ユーザＩＤの代わりとなる、ユーザを特定するための情報でユーザを特定する。ユーザを特定するための情報が原則として必要となるのは、決済装置２００がワンタイムパスワードを生成するための条件はユーザ毎に異なるため（例えば、この実施形態ではユーザ毎に割当てられた初期値が異なるが、用いる数式つまりアルゴリズムをユーザ毎に変えることも可能である。）、決済装置２００においてユーザ毎に異なる条件のうちのどの条件でワンタイムパスワードを生成させるかを確定するために、ユーザを特定するための情報が必要となる。例えば、ユーザは、ユーザＩＤでなく、後述する決済端末３００が備えるタッチパネル式のディスプレイに対して署名を行うことにより、決済端末３００からその署名を電子データとして、決済装置２００に送信することが可能である。或いは、ユーザの指紋や静脈の性状等の生体情報を取込む読取り装置を決済端末３００に設けることにより、読取り装置で読取った指紋や静脈の性状等を電子データとして、決済装置２００に送信することが可能である。これらの場合、ＯＴＰ情報記録部２２８には、ユーザＩＤの代わりに、或いはそれに加えて、署名、指紋や静脈の性状等が記録されることになる。

　最終判定部２２５は、上述したように、主制御部２２２から、決済申込情報及びワンタイムパスワードを受取る。また、その前に、最終判定部２２５は、主制御部２２２から、ユーザ端末１００から送られてきた位置情報と、与信判定部２２３で生成された時刻情報とを受取っている。
　他方、最終判定部２２５は、位置情報記録部２２６から、決済申込情報を決済装置２００に送って来た決済端末３００の位置を示す位置情報を受取るとともに、ＯＴＰ生成部２２７から、ワンタイムパスワードを受取る。
　最終判定部２２５は、主制御部２２２を介して受取った決済端末３００からのワンタイムパスワードと、これも主制御部２２２を介して受取ったＯＴＰ生成部２２７からのワンタイムパスワードとを比較するとともに、主制御部２２２を介して受取ったユーザ端末１００の位置を示す位置情報と、位置情報記録部２２６から受取った位置情報とを比較する。その結果、比較した上記２つのワンタイムパスワードが一致する、比較した２つの上記位置情報により特定される位置が、所定の距離、例えば２０ｍ以内の場合である、そしてこの比較が行われた時刻が与信判定部２２３から主制御部２２２を介して受付けた時刻情報で特定される時刻から所定の時間、例えば５分、或いは３０分以内である、という３つの条件がすべて満たされたときのみ、最終判定部２２５は、ユーザ端末１００の管理者からの決済端末３００の管理者への支払いを認める決定を最終的に行う。最終判定部２２５は、３つの条件のいずれかが充足されない場合には、上記支払を認めないとの決定を最終的に行う。これら両決定を、最終判定と称する。
　最終判定部２２５が最終判定を行った場合、最終判定部２２５は、主制御部２２２に、最終判定の結果を示すデータである最終判定データを送る。これを受取った主制御部２２２は、最終判定で支払いが認められた場合には、当該最終判定をなすために使用されたワンタイムパスワードを生成したユーザ端末１００の管理者から、そのワンタイムパスワードの生成のきっかけとなった金額情報で特定される金額の金銭の、最終判定をなすために使用されたワンタイムパスワードを送って来た決済端末３００の管理者への支払いを認めるための処理を行う。この処理の結果は、例えば、主制御部２２２に内蔵された、図示を省略の記録媒体に記録され、その支払の処理を実現するために必要であれば、関係する金融機関等へと通知されるようになっている。また、主制御部２２２は、最終判定で支払いが認められなかった場合には、上述の処理を行わない。他方、主制御部２２２は、最終判定データに基づく内容を、データ入出力部２２１に送り、送受信部及びネットワーク４００を介して、その最終判定の基礎となる決済申込情報を送信してきた決済端末３００に送るようになっている。

　次に、決済端末３００について説明する。
　決済端末３００は、クレジットカードを用いた決済システムで用いられていた決済端末と略同じものであり、一般的なコンピュータである。ハードウェア構成としては、従来の決済システムにおける決済端末と同等のもので良い。
　なお、決済端末３００は、図示を省略のタッチパネル式のディスプレイを備えている。結果として、決済端末３００は、ディスプレイと、入力装置を備えることになる。もっとも、これに代えて、決済端末３００は、タッチパネル式でないディスプレイと、テンキー、キーボード、マウス、トラックボール等の公知又は周知の入力装置のうちから必要なものを選択してなる入力装置とを、ディスプレイと入力装置とを別個のものとして備えていても良いが、この実施形態の決済システムはタッチパネル式のキーボードを備えるものとして以下、話を進める。

　決済端末３００のハードウェア構成を、図１０に示す。
　ハードウェアには、ＣＰＵ３１１、ＲＯＭ３１２、ＲＡＭ３１３、インターフェイス３１４が含まれており、これらはバス３１６によって相互に接続されている。
　ＣＰＵ３１１は、演算を行う演算装置である。ＣＰＵ３１１は、例えば、ＲＯＭ３１２に記録されたコンピュータプログラムを実行することにより、後述する処理を実行する。このコンピュータプログラムは、決済端末３００にプリインストールされていたものであっても良いし、事後的にインストールされたものであっても良い。このコンピュータプログラムの決済端末３００へのインストールは、メモリカード等の所定の記録媒体を介して行われても良いし、ＬＡＮ或いはインターネットなどのネットワークを介して行なわれても構わない。
　ＲＯＭ３１２は、ＣＰＵ３１１が後述する処理を実行するために必要なコンピュータプログラムやデータを記録している。ＲＯＭ３１２に記録されたコンピュータプログラムは、これに限られず、他の必要なコンピュータプログラムが記録されていても良い。
　ＲＡＭ３１３は、ＣＰＵ３１１が処理を行うために必要なワーク領域を提供する。
　インターフェイス３１４は、バス３１６で接続されたＣＰＵ３１１やＲＡＭ３１３等と外部との間でデータのやり取りを行うものである。インターフェイス３１４は、少なくとも図示を省略の送受信部に接続されている。送受信部がネットワーク４００から受取ったデータは、インターフェイス３１４により受取られるようになっており、インターフェイス３１４から送受信部にわたされたデータは、送受信部によって、ネットワーク４００を介して外部、例えば、決済装置２００に送られるようになっている。
　インターフェイス３１４は、また、タッチパネル式ディスプレイに設けられた入力装置に接続されており、入力装置からの入力を受付けるようになっている。インターフェイス３１４は、タッチパネル式ディスプレイに接続されており、タッチパネル式のディスプレイに後述する画像を表示するためのデータを送るようになっている。

　ＣＰＵ３１１がコンピュータプログラムを実行することにより、決済端末３００内部には、図１１で示されたような機能ブロックが生成される。なお、以下の機能ブロックは、決済端末３００を本願発明の決済端末として機能させるための上述のコンピュータプログラム単体の機能により生成されていても良いが、上述のコンピュータプログラムと、決済端末３００にインストールされたＯＳその他のコンピュータプログラムとの協働により生成されても良い。
　決済端末３００内には、本願発明の機能との関係で、以下のような制御部３２０が生成され、制御部３２０内に、主制御部３２１、表示制御部３２２、データ入出力部３２３が生成される。

　制御部３２０は、以下に説明するような情報処理を実行する。
　主制御部３２１は、制御部３２０内の全体的な制御を行う。例えば、主制御部３２１は、追って詳述するデータ入出力部３２３から受取ったデータに基づいて表示制御部３２２の制御を行う。
　主制御部３２１は、追って説明するデータ入出力部３２３から、ユーザＩＤと、ユーザ端末１００で生成されたワンタイムパスワードと、決済申込情報とを受取るようになっている。そして、それらをすべて受取ったときに、それらをデータ入出力部３２３に送るようになっている。主制御部３２１は、後述する決済端末取消情報をデータ入出力部３２３から受取る場合がある。決済端末取消情報を受取った場合、主制御部３２１は、それを適当なタイミングでデータ入出力部３２３に送るようになっている。また、主制御部３２１は、各決済端末３００を区別するための、各決済端末３００にユニークな決済端末ＩＤを保持している。決済端末ＩＤは、主制御部３２１によって、決済申込情報に含められるようになっている。
　表示制御部３２２は、主制御部３２１の制御を受けつつ、タッチパネル式とされたディスプレイに表示される画像の制御を行う。ディスプレイには、表示制御部３２２から送られたデータに基づく画像が表示される。主制御部３２１は、表示制御部３２２に対して、ディスプレイにどのような画像を表示させるべきかという指示を送る。

　データ入出力部３２３は、制御部３２０へのデータの入出力を行うものである。具体的には、データ入出力部３２３は、入力装置からの入力を受取るようになっている。入力装置からデータ入出力部３２３へ入力されるデータの例は、上述の通りであり、ユーザＩＤ、ワンタイムパスワード、決済申込情報である。それらは主制御部３２１に送られるようになっている。また、入力装置からは、決済端末取消情報が入力される場合がある。
　また、データ入出力部３２３は、図示を省略の送受信部に対して、データを出力するようになっている。送受信部に対して出力されるデータは例えば、ユーザＩＤ、ワンタイムパスワード、決済申込情報、決済端末取消情報であり、それらは送受信部から、ネットワーク４００を介して、決済装置２００に送られるようになっている。なお、ユーザＩＤと、ワンタイムパスワードは既に説明した通りのものである。決済申込情報は、決済の最終判定を決済装置２００に依頼する情報である。また、決済端末取消情報は、既に終了した過去の決済の一つを取消すための決済端末３００の管理者の意思表示を示す情報であり、入力装置を用いて決済端末３００の管理者が入力するものである。決済端末取消情報には、管理者が取消を望む過去の決済の一つを特定する情報が少なくとも含まれている。

　次に以上のような決済システムの使用方法、及び動作について図１５を参照しながら説明する。
　かかるシステムを用いて決済を行う際には、まず、ユーザが自らの、ユーザ端末１００を操作して、決済の処理を開始する（Ｓ９１１）。そのためにユーザは、決済の処理を開始することを示す情報を入力する。例えば、ユーザ端末１００のディスプレイ１０１に表示されている、図示を省略のアイコンにタッチすることにより、かかる情報の入力を行える。
　その情報は、データ入出力部１２３から、主制御部１２１に送られる。主制御部１２１は、その情報を受付けると、表示制御部１２２に対して、ユーザＩＤ等の入力をユーザに促すような画像をディスプレイ１０１に表示せよとの指示を送る。この指示を受付けた表示制御部１２２は、ディスプレイ１０１に、例えば、図１２（Ａ）の如き、ユーザにユーザＩＤと、パスワードと、ユーザが支払いを行おうとする金額の入力を促す画像を表示する。ユーザは、ユーザＩＤと示された部分の右側にユーザＩＤを、パスワードと示された部分の右側にパスワードを、金額（円）と示された部分の右側に自分が支払おうとする金額をそれぞれ入力する（Ｓ９１２）。ユーザが入力したユーザＩＤとパスワードについてのデータは、入力装置１０２からデータ入出力部１２３に入力され、主制御部１２１に送られる。金額を特定する情報は金額情報であるが、この金額情報も同様に主制御部１２１に送られる。ユーザが入力したユーザＩＤとパスワードと金額は、入力中も含めて、主制御部１２１に制御された表示制御部１２２の制御によってディスプレイ１０１に表示されるから、ユーザは、ディスプレイ１０１を確認しながら、ユーザＩＤとパスワードと金額との入力を行うことができる。図１２（Ｂ）に示した例によれば、ユーザは、この決済システムを用いて、２５０００円の支払いを行おうとしている。
　ユーザＩＤとパスワードと金額情報の入力が終わったら、ユーザは、ディスプレイ１０１に表示された「決定」と書かれたボタンをクリックする。

　「決定」と書かれたボタンをユーザがクリックすると、ＧＰＳ機構が、ユーザ端末１００が存在する位置を特定する情報であるユーザ端末の位置情報を生成する。位置情報は、データ入出力部１２３から主制御部１２１に送られる。主制御部１２１は、ユーザＩＤとパスワードと金額情報とに加えて、位置情報と、主制御部１２１の図示を省略された記録手段に記録された端末情報とをすべて一纏めにして、それらをデータ入出力部１２３に送る。データ入出力部１２３は、それらデータをまとめて送受信部に送り、送受信部は、それらデータをまとめてネットワーク４００を介して決済装置２００に送る（Ｓ９１３）。「決定」と書かれたボタンをユーザがクリックしてから、上記５つのデータの決済装置２００への送信は略実時間で、少なくとも例えば数秒のうちに実行される。

　決済装置２００は、その送受信部でそれらデータを受付ける（Ｓ９２１）。送受信部はそれらデータをすべてデータ入出力部２２１に送り、データ入出力部２２１はそれらデータをすべて主制御部２２２に送る。主制御部２２２は、ユーザＩＤと、パスワードと、端末情報と、金額情報とを与信判定部２２３に、ユーザ端末１００の位置情報を最終判定部２２５にそれぞれ送る。
　与信判定部２２３は、与信判定を実行する（Ｓ９２２）。与信判定は具体的には、以下のように実行される。
　与信判定部２２３は、主制御部２２２からユーザＩＤ、パスワード、及び端末情報を受取ると、受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び与信残高を、与信情報記録部２２４から読み出す。与信判定部２２３が受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に存在しない場合には、パスワード等の情報を与信判定部２２３は、与信情報記録部２２４から読み出さない。この場合には、与信判定部２２３は、与信判定の処理を中止する。
　この実施形態では、図１２（Ｂ）に示したように、ユーザがユーザ端末１００に入力したユーザＩＤは、「d2af1apfa」であり、それと同じユーザＩＤが、与信情報記録部２２４の上から２番目に存在しているから、与信判定部２２３は、与信情報記録部２２４から、そのユーザＩＤと紐付けられたパスワード（aofau554）と、端末情報（012457854）と、与信残高（２９５６００２円）を読み出す。
　与信判定部２２３が主制御部２２２から受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に記録されており、主制御部２２２から受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び与信残高が与信情報記録部２２４から読み出された場合には、与信判定部２２３は、主制御部２２２から受取ったパスワード及び端末情報が、与信情報記録部２２４から読み出されたパスワード及び端末情報と同じか否か判定する。それらが共に一致したのであれば、与信判定部２２３は、そのユーザＩＤ等を送って来たユーザが正当なユーザであると認証する。他方、パスワード及び端末情報の少なくとも一方が一致しなかったのであれば、そのユーザＩＤ等を送って来たユーザが正当なユーザでないと判定して、与信判定の処理を中止する。
　次いで、認証されたユーザの与信の判定が実行される。与信判定部２２３は、そのユーザが送ってきた金額情報と、そのユーザのユーザＩＤと紐付けられていた、上記与信情報記録部２２４から読み出された与信残高とを比較する。この実施形態では、与信残高の方が、金額情報で特定される金額と同じかそれよりも大きい場合に、ユーザの求める決済が、仮にではあるが、認められる。他方、与信残高が、金額情報で特定される金額よりも小さい場合には、ユーザの求める決済は認められない。この例では、与信残高（２９５６００２円）の方が、金額情報で特定される金額（２５０００円）よりも大きいため、ユーザの求める決済が認められる。かかる決済が認められるのであれば、与信判定部２２３は、仮許可情報を生成する（Ｓ９２３）。与信判定部２２３が仮許可情報を生成した場合には、その仮許可情報は主制御部２２２に送られるようになっている。
　なお、与信判定部２２３が仮許可情報を生成した場合には、与信判定部２２３は与信判定を行った時刻を特定するための時刻情報を主制御部２２２に通知する。かかる時刻情報は、その仮許可情報で決済が一応認められたユーザが誰であるかを特定するために、ユーザＩＤとともに、主制御部２２２から最終判定部２２５に送られる。
　主制御部２２２は仮許可情報を、データ入出力部２２１に送る。データ入出力部２２１は、仮許可情報を、送受信部、及びネットワーク４００を介してユーザ端末１００に送信する（Ｓ９２４）。

　ユーザ端末１００の送受信部は、送られてきた仮許可情報を受取る（Ｓ９１４）。受取られた仮許可情報は、データ入出力部１２３から、主制御部１２１に送られる。仮許可情報を受取った主制御部１２１は、仮許可情報を受取った旨を、ＯＴＰ生成部１２４に通知する。
　この通知を受けたＯＴＰ生成部１２４は、ワンタイムパスワードを生成する（Ｓ９１５）。ＯＴＰ生成部１２４は、ワンタイムパスワードを生成するための初期値を有しており、且つ過去に何回ワンタイムパスワードを生成したかということを示す生成回数を記録している。また、ＯＴＰ生成部１２４は、ワンタイムパスワードを生成するための数式（これはつまり、アルゴリズムである。）を使用できるようになっている。ＯＴＰ生成部１２４は、初期値を上述の数式に代入して得た値を再び数式に代入して次の値を得る、という処理を繰り返すことにより次々と値を生成する。生成回数で示された数字よりも１多い順番に作られた値を、ＯＴＰ生成部１２４は、そのとき使用するワンタイムパスワードとするようになっている。
　生成されたワンタイムパスワードは、主制御部１２１に送られる。主制御部１２１は、表示制御部１２２に対してワンタイムパスワードをディスプレイ１０１に表示せよとの指示を送る。表示制御部１２２には、例えば、図１３（Ａ）に示されたような画像が表示される。
　このワンタイムパスワードは従来のクレジットカードを用いた決済システムにおけるクレジットカードナンバーの如くに利用されるものではあるが、後述するようにそれが有効である（決済に用いることができる）時間に制限がある。ユーザの注意を促す側面から、図１３（Ａ）に示したように、『このワンタイムパスワードは今から５分間有効です』といった表示を、ワンタイムパスワードと一緒にかどうかはさておき、適当なタイミングでディスプレイ１０１に行うようにするのが好ましい。

　なお、上述したように、決済装置２００の与信判定部２２３は、与信判定を中止した場合やそのユーザについての与信残高が不足していた場合等、仮許可情報を生成しない場合もある。この場合には、当然にユーザ端末１００には仮許可情報が送信されない。もっともこの場合においても、決済装置２００からユーザ端末１００に対して何らかのデータを送信し、決済装置２００で仮許可情報が生成されなかったこと（ユーザの視点では、決済の手続きが継続できないこと。）、及び必要であればその理由をユーザ端末１００のディスプレイ１０１に表示するようにしても良い。
　その場合には、例えば、図１３（Ｂ）に示したような画像がユーザ端末１００のディスプレイ１０１に表示される。この画像も、主制御部１２１の指示に従い、表示制御部１２２がディスプレイ１０１に表示する。この図の場合であれば、左側の四角いチェックボックスの中にチェックが入っていることから明らかなように、パスワードが正しくないということが決済の手続きが継続できない理由であるということが、ユーザに示されている。

　ユーザ端末１００のディスプレイ１０１にワンタイムパスワードが表示されると、ユーザが、それを決済端末３００に入力することにより決済端末３００に渡す（Ｓ９３１）。
　上述したように、決済端末３００は、図示を省略のタッチパネル式のディスプレイを備えている。タッチパネル式のディスプレイには、例えば図１４（Ａ）に示したような、ユーザ等にユーザＩＤとワンタイムパスワードとの入力を促す表示を行う。かかる表示は、決済端末３００の主制御部３２１の制御下で、表示制御部３２２が行う。ユーザは、ユーザＩＤと表示された部分の右側にユーザＩＤを、ＯＴＰと表示された部分の右側にワンタイムパスワードを、タッチパネル式のディスプレイを手で操作することにより入力する。
　ユーザは、決済端末３００のディスプレイを操作して、ユーザＩＤとワンタイムパスワードとを入力する（図１４（Ｂ））。ユーザが入力したユーザＩＤとワンタイムパスワードとは、入力中も含めて、主制御部３２１に制御された表示制御部３２２の制御によってディスプレイに表示されるから、ユーザは、ディスプレイを確認しながら、ユーザＩＤとワンタイムパスワードとの入力を行うことができる。
　なお、この実施形態では、ユーザの手入力によって、ユーザ端末１００で生成されたワンタイムパスワードを決済端末３００に渡すこととしているが、これには限られず、例えば決済端末３００が備えた、あるいは決済端末３００に接続されたカメラによりユーザ端末１００のディスプレイ１０１を撮像した後、そのディスプレイ１０１を含む画像に対して決済端末３００で所定の画像処理を行うことにより、ディスプレイ１０１に表示されているワンタイムパスワードを決済端末３００が特定するようにすることもできる。或いは、ユーザ端末１００のディスプレイ１０１に、一次元或いは二次元バーコードとして表示されたワンタイムパスワードを、決済端末３００が備えるバーコードリーダで読み取ることにより、ユーザ端末１００で生成されたワンタイムパスワードを決済端末３００に渡すことも可能である。また、Ｂｌｕｅｔｏｏｔｈ、赤外線通信などの無線通信によって、ユーザ端末１００から決済端末３００にワンタイムパスワードをデータとして渡すことも可能である。なお、ユーザ端末１００から決済端末３００に無線通信によってワンタイムパスワードを渡す場合には必ずしも、ユーザ端末１００のディスプレイ１０１にワンタイムパスワードを表示する必要はない。
　なお、ユーザ端末１００から決済端末３００にワンタイムパスワードを引渡す方法は、これには限られない。ユーザは、ユーザ端末１００で発生させたワンタイムパスワード、或いはワンタイムパスワードを特定する情報を、例えば自らが所有する公知或いは周知のプリンタで紙に印刷することができる。この場合にはユーザは、ワンタイムパスワードを、支払いを行おうとしている場所（店舗内、或いはその付近）で発生させる必要はなく、自宅或いはプリンタが存在する場所でそれを行えば良い。ワンタイムパスワードが印刷された紙は、金券として貨幣（或いは紙幣）と同様に、その引渡しによる支払いのためのツールとして使用することが可能になる。ユーザはその金券を、決済端末３００の管理者に引渡すことにより、決済を行うことが可能となる。かかる金券の一例を、図２０と、図２１とに示す。
　図２０は、ワンタイムパスワードを印刷した金券の一例であり、図２０（Ａ）は、ある金券の表面、同（Ｂ）は、その金券の裏面を示す。金券には、ワンタイムパスワードが印刷されている。この実施形態では、一例としてワンタイムパスワードとして、ユーザ端末１００で、０１５６３８９４４５１という数字が発生させられたものとしているが、金券の表面にはワンタイムパスワードの一部（ＯＴＰ１）として、その前半が、金券の裏面にはワンタイムパスワードの残部（ＯＴＰ２）として、その後半が、印刷されている。ワンタイムパスワードは、その全部が金券の表面又は裏面のいずれかに印刷されても良いが、このようにワンタイムパスワードが金券の両面に渡って印刷されることにより、悪意の第三者がワンタイムパスワードの全体を盗み見たり、盗撮したりすることが難しくなる。また、図２０の金券には、この金券を用いて支払いを行うことが想定された者（ワンタイムパスワードを発生させたユーザとは限らない。）の顔Ｆが印刷されている。このような金券であれば、決済端末３００の管理者に金券を渡した者の顔と、金券に印刷された顔とが一致した場合にのみ決済端末３００の管理者が決済に関する以後の処理を行うというルールを作ることが可能となり、そのようなルールを実行することにより、金券を不正に取得した者による金券Ｆの不正使用（不正な支払い）が行われるリスクを低減できる。なお、この例ではユーザ等の顔Ｆは金券の表裏両面に印刷されているが、顔Ｆは金券のいずれか一方の面に印刷されていれば足りる。このような金券を受取った決済端末３００の管理者は、金券の表裏に記載のワンタイムパスワードの一部と残部を、テンキーその他の入力装置を用いて、或いはカメラで撮像することにより、決済端末３００に入力可能である。顔Ｆをユーザ以外の者とした場合には、ユーザからその金券を正当に譲渡された者が、その金券を用いて決済を行うことが可能となる。
　図２１の金券は、ワンタイムパスワードではなく、ワンタイムパスワードを特定するための情報を紙に印刷したものである。ワンタイムパスワードを特定するための情報の例として、この実施形態では、二次元バーコードを採用している。図２１に示した金券の場合でも、金券の表面にワンタイムパスワードの一部が、金券の裏面にワンタイムパスワードの残部が印刷されている。図２１（Ａ）で示された面に印刷された二次元バーコードは、図２０（Ａ）に記載のＯＴＰ１に、また、図２１（Ｂ）で示された面に印刷された二次元バーコードは、図２０（Ｂ）に記載のＯＴＰ２に対応しており、それら二次元バーコードを所定の二次元バーコードリーダで読取ると、ＯＴＰ１、ＯＴＰ２にそれぞれ対応した値が読み出されるようになっている。また、図２０に示した金券の場合でもそうであったが、図２１に示した金券でも、その表裏両面にその金券を使用することが予定された者の顔Ｆが印刷されている。このような金券を受取った決済端末３００の管理者は、その金券の表裏に印刷された二次元バーコードを、例えばバーコードリーダを用いて読取らせることにより、ワンタイムパスワードを決済端末３００に入力することが可能となる。
　いずれにせよ、ユーザＩＤとパスワードと金額情報の入力が終わったら、ユーザ或いは決済端末３００の管理者は、ディスプレイに表示された「決定」と書かれたボタンをクリックする。

　ユーザが、「決定」と書かれたボタンをクリックすると、その入力内容はデータ入出力部３２３から主制御部３２１に送られる。主制御部３２１は、その入力内容を受取ると、決済申込情報を生成する。決済申込情報は、決済端末３００の管理者が決済の最終判定を決済装置２００に依頼する情報である。決済申込情報には、また、その決済端末３００を特定するための、決済端末ＩＤが含められる。主制御部３２１は、決済申込情報とユーザＩＤとワンタイムパスワードとを一纏めにしてデータ入出力部３２３を介して決済端末３００の送受信部に送り、送受信部からネットワーク４００を介して決済装置２００に送る（Ｓ９３２）。

　決済装置２００は、その送受信部で、決済端末３００から送られてきたそれら３つのデータを受取る（Ｓ９２５）。決済端末３００から送られてきた決済申込情報とユーザＩＤとワンタイムパスワードは、データ入出力部２２１を介して主制御部２２２に送られる。
　主制御部２２２は、決済端末３００から送られてきた決済申込情報とユーザＩＤとワンタイムパスワードのデータを、最終判定部２２５に送る。これらデータを受取った最終判定部２２５は、決済申込情報に含まれていた決済端末ＩＤと紐付けられている位置情報を、位置情報記録部２２６から読み出す。

　他方、主制御部２２２は、決済申込情報等を受取ると、ワンタイムパスワードを生成せよとの指示を、ＯＴＰ生成部２２７に送る。
　ワンタイムパスワードを生成せよとの指示には、主制御部２２２が受取ったユーザＩＤが付されている。ＯＴＰ生成部２２７は、そのユーザＩＤに対応するユーザＩＤと紐付けられている初期値と、生成回数とを、ＯＴＰ情報記録部２２８から読み出す。
　ＯＴＰ情報記録部２２８に記録されていた、それら初期値と生成回数についての情報を用いてＯＴＰ生成部２２７によって行われるワンタイムパスワードの生成の処理は、ワンタイムパスワードを生成せよとの指示を出すきっかけとなった決済申込情報と共に送られてきたユーザＩＤによって特定されるユーザ端末１００のＯＴＰ生成部１２４で実行された処理とまったく同じものとなる。したがって、ユーザ端末１００で行われたワンタイムパスワードの生成や、決済端末３００から決済装置２００へのワンタイムパスワードの送信等のどこかに、第三者による不正がない限り、ユーザ端末１００でなされるワンタイムパスワードの生成の処理と、決済装置２００で行われるワンタイムパスワードの生成の処理とは、完全に同期したものとなる。
　ワンタイムパスワードを生成したら、ＯＴＰ生成部２２７は、それを、主制御部２２２を介して最終判定部２２５に送る。

　最終判定部２２５が、位置情報記録部２２６から位置情報を読み出し、また、ＯＴＰ生成部２２７からＯＴＰ生成部２２７が生成したワンタイムパスワードを受取る前に、既に、最終判定部２２５には、主制御部２２２からユーザ端末１００で生成され決済端末３００から送られてきたワンタイムパスワードと、これもユーザ端末１００で生成され、ユーザ端末１００から送られてきた位置情報と、与信判定部２２３で生成され主制御部２２２を介して送られてきた時刻情報とが存在している。
　最終判定部２２５は、これらの情報を用いて、最終判定を行う（Ｓ９２６）。

　最終判定は、以下のように行われる。
　この実施形態における最終判定では、最終判定部２２５は、ユーザ端末１００が生成し、決済端末３００から送られてきたワンタイムパスワードと、ＯＴＰ生成部２２７が生成したワンタイムパスワードとを比較してこれらが一致するか否かを判定する。両ワンタイムパスワードが一致することが、最終判定で決済が可能と判定されるための条件の一つとなる。これを条件とするのが有効なのは、両ワンタイムパスワードが一致するのであれば、ユーザ端末１００を使用してワンタイムパスワードを生成した者や、ワンタイムパスワードを送って来た決済端末３００の管理者に悪意の第三者によるなりすましが無く、また、ワンタイムパスワードを決済端末３００から決済装置２００に送信する間にも、悪意の第三者の攻撃が無い等、決済の全過程に不正がないと想定することが可能であるからである。
　また、この実施形態における最終判定では、最終判定部２２５は、ユーザ端末１００が生成し、ユーザ端末１００から送られてきた位置情報と、位置情報記録部２２６から読み出された位置情報とを比較して、両位置情報により特定される位置が、所定の距離よりも近いか否かを判定する。両位置情報により特定される位置が所定の距離、例えば２０ｍよりも近いことが、必ずしもこの限りではないがこの実施形態では、最終判定で決済が可能と判定されるための条件の一つとなる。これを条件とするのが有効なのは、以下の理由による。ユーザ端末１００から送られて来た位置情報は、端的に言えば、ユーザ端末１００がどこにあるかということを示すものである。位置情報記録部２２６から読み出された位置情報は、端的に言えば、決済端末３００がどこにあるかを示すものである。そして、両位置情報により特定される位置が近いということは、ユーザ端末１００を操作するユーザと、決済端末３００の管理者が近くにいるということを示している。ユーザと、ユーザから支払いを受ける決済端末３００の管理者は、多くの場合、支払いが行われるときユーザの近くにいる。例えば、レストランその他の飲食店や、実店舗の商店等での支払いの場合、そのような状況は普通に生じるというよりも、そうでないことがまず無い。ユーザと決済端末３００との距離が近いという状況が生じているか否かを、上述の如き２つの位置情報の比較により確認することにより、第三者が、ユーザ又は決済端末３００の管理者になりすますことを防止できる可能性が高まる。しかも、決済端末３００の位置はある程度固定されてはいるが、ユーザは移動するため、ユーザがどこにいるかを知らない第三者はユーザになりすますことは難しい。したがって、２つの位置情報を対比した結果を、決済を認める条件とすることには大きな意味がある。なお、両位置情報により特定される位置が「近い」と判断されるか、されないかの基準となる距離（例えば、上述の場合であれば２０ｍ）が小さければ小さい程、この決済システムを用いての決済の安全性は高まるが、この基準となる距離は、ユーザ端末１００に含まれるＧＰＳ機構の性能（位置情報により特定されるユーザ端末１００の位置の精度）等に応じて適切に決定すれば良い。
　他方、決済端末３００が、実店舗に存在しない場合がある。例えば、インターネット上に存在する仮想店舗での支払いの場合には、広く知られているようにオンライン決済が行われる。その場合には、ユーザと決済端末３００の距離は、決済を認めるための条件としたところで大した意味を持たない。必ずしもこの限りではないが、この実施形態では、決済端末３００が実店舗に存在しない場合には、図９の決済端末ＩＤ４の場合のように、その決済端末３００についての位置情報は位置情報記録部２２６に記録されていない。この場合には、決済装置２００は、最終判定を行うにあたり、上述の如き２つの位置情報の比較を行わない（或いは、省略する）ようにすることができる。この決済システムの全体で、位置情報を用いないようにすることも可能である。
　この実施形態における最終判定では、最終判定部２２５は、与信判定部２２３が生成した時刻情報により特定される時刻と、最終判定が行われた時刻とを対比し、その時間間隔が所定の時間間隔以内であるか否かを判定する。その時間間隔が所定の時間間隔（この実施形態では、図１３（Ａ）を用いて説明したように、その時間間隔は５分である。）以内であることが、必ずしもこの限りではないがこの実施形態では、最終判定で決済が可能と判定されるための条件の一つとなる。これを条件とするのが有効なのは、その時間間隔を短くすることによって、ユーザ端末１００で生成されたワンタイムパスワードが第三者に盗まれて不正に使用されることが可能な時間を短くすることができ、それにより決済の安全性をより高めることができるからである。なお、この実施形態では、与信判定部２２３で与信判定が行われた時刻を、上述の時間間隔を計測するための始点として用い、最終判定部２２５で最終判定が行われる時刻を、上述の時間間隔を計測するための終点として用いることとしている。しかしながら、上述の時間間隔を計測するための特に始点は、上述のタイミングには限られない。上述の時間間隔を計測するための始点は、ユーザが、ユーザ端末１００の入力装置１０２を操作することによって、この決済のための処理に必要な最初の入力を行って以降、最終判定部２２５が最終判定を行う前の適当なタイミングとすることができる。つまり、Ｓ９１１が開始された後、最終判定部２２５で最終判定が行われる前の任意のタイミング、特には、決済装置２００からユーザ端末１００に仮許可情報が届くその瞬間までの任意の時点を、上述の時間間隔を計測するための始点とすることができる。例えば、ユーザ端末１００で金額情報が入力されたタイミング、ユーザ端末１００でディスプレイ１０１に表示された「決定」という文字が表示されたボタンがクリックされたタイミング、ユーザ端末１００から送信された金額情報等が決済装置２００に受取られたタイミング、与信判定部２２３で与信判定が開始されたタイミング、決済装置２００からユーザ端末への仮許可情報の送信が開始されたタイミング等が、採用可能な始点の例となる。なお、この決済システムで、ユーザ端末１００で生成されたワンタイムパスワードに有効期限を設けないことも可能である。
　この実施形態では、決済装置２００の最終判定部２２５は、上述の３つの条件がすべて充足されたと判定したときにのみ、ユーザ端末１００を持つユーザからの決済端末３００の管理者への支払いを認める決定を最終的に行う。最終判定部２２５は、３つの条件のいずれかが充足されない場合には、上記支払を認めないとの決定を最終的に行う。これら両決定を、最終判定と称する。
　最終判定部２２５は、最終判定を行った場合、最終判定の結果を示すデータである最終判定データを生成（Ｓ９２７）し、それを主制御部２２２に送る。これを受取った主制御部２２２は、最終判定で支払いが認められた場合には、当該最終判定をなすために使用されたワンタイムパスワードを生成したユーザ端末１００を持つユーザから、そのワンタイムパスワードの生成のきっかけとなった金額情報で特定される金額の金銭の、最終判定をなすために使用されたワンタイムパスワードを送って来た決済端末３００の管理者への支払いを認めるための処理を行う。この処理の結果は、例えば、主制御部２２２に内蔵された、或いは決済装置２００の内部、或いは外部にある図示を省略の記録媒体に記録され、その支払の処理を実現するために必要であれば、関係する金融機関等へと通知される。記録媒体に記録される内容は、少なくとも支払いを行ったユーザを特定するための情報、支払いを受ける者を特定するための情報、及び支払いに使用されたワンタイムパスワードである。ワンタイムパスワードを記録するのは、同じワンタイムパスワードで２回の支払いを認めないようにするためである。また、主制御部２２２は、最終判定で支払いが認められなかった場合には、上述の処理を行わない。
　他方、主制御部２２２は、最終判定データの内容を、データ入出力部２２１に送り、送受信部及びネットワーク４００を介して、その最終判定の基礎となる決済申込情報を送信してきた決済端末３００に送るようになっている（Ｓ９２８）。

　このデータを、決済端末３００は受取る（Ｓ９３３）。決済端末３００は、このデータをその送受信部で受取る。送受信部が受取ったそのデータは、送受信部からデータ入出力部３２３に送られ、データ入出力部３２３から主制御部３２１に送られる。
　主制御部３２１は、最終判定データに基づく内容をそのディスプレイに表示させるべく表示制御部３２２を制御する。表示制御部３２２の制御により決済端末３００のディスプレイには、適当な表示がなされる（Ｓ９３４）。その表示は、最終判定データの内容が支払いを認めるものであればその旨を示すものとなり、最終判定データの内容が支払いを認めないものであればその旨を示すものとなる。
　なお、決済装置２００は、最終判定データの内容を、決済端末３００のみならずユーザ端末１００にも送信するようになっていても良い。この場合には、ユーザ端末１００のディスプレイ１０１に、決済端末３００のディスプレイに表示されたのと同様の、最終判定データに基づく内容が表示される。

　以上が、この実施形態の決済システムで行われる決済の流れである。
　ただし、以上のように行われた決済が、取消される場合がある。それは次のような流れで実行される。
　ユーザと決済端末３００の管理者が、何らかの事情により過去に行った決済を取消したいと考えたとする。そのときユーザは、ユーザ端末１００をの入力装置１０２を操作して、決済の取消しの画面をディスプレイ１０１上に呼出す。そのときのディスプレイ１０１上の表示の一例を、図１５に示す。なお、この例では、ユーザＩＤがd2af1apfaであるユーザが行った２５０００円の上記決済を取消すものとする。
　図１６に示したように、ディスプレイ１０１には、取消が可能な過去の決済の一覧が表示される。過去の決済のうち取消を行えるものは、この実施形態では、決済装置２００で決済が終了してから例えば１０分以内のものに制限されているから、ここで表示される過去の決済は多くはないであろう。図１６（Ａ）では、２０１５年９月１５日の１９時２１分になされた２５０００円の支払いと、同１９時１８分に行われた２６００円の支払いの２つが、取消を行える対象としてディスプレイ１０１に表示されている。ユーザは、入力装置１０２を使用して、それらのうちから一つを選択する。図１６（Ｂ）では、取消の対象となっている２つの支払いのうちの前者が選択された状態を示している。ユーザが、決定と記載されているボタンをクリックすると、取消の対象として２０１５年９月１５日の１９時２１分になされた２５０００円の支払いを特定した情報を含む、ユーザ端末取消情報が生成される。ユーザ端末取消情報は、入力装置１０２からの入力をデータ入出力部１２３を介して受付けた主制御部１２１が生成する。ユーザ端末取消情報は、主制御部１２１からデータ入出力部１２３を介して送受信部へ送られ、送受信部からネットワーク４００を介して決済装置に送られる。
　他方、決済端末３００の管理者も、同様の処理を行い、決済端末取消情報を生成する。決済端末３００の管理者は、決済端末３００の入力装置を操作して決済端末３００のディスプレイ上に、図１６に示したのと同様の画面を表示させる。ディスプレイには、取消が可能な過去の決済の一覧が表示される。過去の決済のうち取消を行えるものは、この実施形態では、決済装置で決済が終了してから例えば１０分以内のものに制限されているけれども、一般に一つの決済端末３００を用いて行われる決済は、一つのユーザ端末１００を用いて行われる決済よりも数が多いから、決済端末３００のディスプレイには、図１６に示したものよりもより多くの決済が表示されることになるであろう。決済端末３００の管理者は、決済端末３００の入力装置を操作して、そのうちの一つを選択する。決済端末３００の管理者が選択を誤らないようにするには、図１６で示した例では、過去の決済を特定するための情報として、決済の日時と金額のみが表示されていたが、それに加えて決済を行ったユーザを特定するための情報、例えばユーザＩＤをもディスプレイ上に表示されるようになっているのが便宜であろう。決済端末３００の管理者が入力装置を操作することにより、ユーザＩＤがd2af1apfaであるユーザが２０１５年９月１５日の１９時２１分に行った２５０００円の支払いを特定した情報を含む、決済端末取消情報が生成される。決済端末取消情報は、入力装置からの入力をデータ入出力部３２３を介して受付けた主制御部３２１が生成する。決済端末取消情報は、主制御部３２１からデータ入出力部３２３を介して送受信部へ送られ、送受信部からネットワーク４００を介して決済装置に送られる。
　決済装置２００は、その送受信部で、ユーザ端末取消情報と決済端末取消情報とを受取る。これらは、データ入出力部２２１を介して、主制御部２２２へと送られる。主制御部２２２は、それら２つの情報を受取った場合、それらユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一であるか否かを判定する。その結果、両者が同一である場合には、主制御部２２２は当該過去の決済を取消すための処理を行う。ユーザ端末取消情報と決済端末取消情報との一方しか受取らなかった場合、或いはこれら２つの情報を受取ったけれどもユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一でない場合には、過去の決済を取消す処理を主制御部２２２は行わない。主制御部２２２は、決済の取消の結果を、例えば、主制御部２２２に内蔵された、図示を省略の記録媒体に記録し、また、その取消の処理を実現するために必要であれば、関係する金融機関等へと通知する。

　上述した取消の処理は、例えば、以下のように用いればより実用的になる。
　従来のクレジットカードにおけるクレジットカードナンバーの如くに用いられる本願発明におけるワンタイムパスワードは、基本的に一度しか使われないいわば使い捨てのものであるから、その盗用の可能性は極めて低くほとんど想定することができない。しかしながら、ユーザ端末１００で生成されたワンタイムパスワードを、ユーザが、決済端末３００を介して決済装置２００に送るまでの間に第三者に盗まれ、第三者に使用されてしまう可能性がないわけではない。
　上述の実施形態では、決済端末３００から決済装置２００にユーザＩＤか、或いはユーザを特定するための他の情報である署名、指紋や静脈の性状等の情報を送信することとしていた。これらのうち、決済端末３００から送られるワンタイムパスワードを用いて支払いを行おうとするユーザを特定する材料として、指紋や静脈の性状等のバイオ情報を用いるのであれば、ワンタイムパスワードを盗んだ第三者が正規のユーザになりすますのは極めて難しいであろう。しかしながら、ユーザを特定するために決済端末３００から決済装置２００にワンタイムパスワードとともに送られる材料がユーザＩＤのみである場合には、ユーザＩＤは通常変化させない固定のものであるから、ワンタイムパスワードのみならずユーザＩＤまで盗まれた場合には、第三者によるなりすましを防止することができないという事態も生じうる。また、追って本願発明の変形例で述べるように、決済端末３００から決済装置２００にワンタイムパスワードを送る場合に、ユーザＩＤ等の、そのワンタイムパスワードを自らのユーザ端末１００で生成したユーザを特定するための如何なる情報をも添付しないことも可能である。そのような場合においては、ユーザが本人であるという確認と、そのユーザの支払い能力についての与信の判定をパスして仮許可情報が生成された上で発生させられたワンタイムパスワードは、それを用いれば、そのワンタイムパスワードを自らのユーザ端末１００を用いて発生させたユーザのみならず、誰でもが、そのワンタイムパスワードを相手に引き渡すことで支払いを行える、現金、小切手等の如き性格を持つことになる。決済システムが、そのようなワンタイムパスワードを扱うものである場合には、ワンタイムパスワードを盗み出した第三者は、そのワンタイムパスワードをそのワンタイムパスワードを自らのユーザ端末１００で発生させたユーザになり変わって使用することができる。
　そのような第三者によるワンタイムパスワードの不正使用を上述した取消の処理により防止することができる。

　上述したように、この実施形態の決済システムでは、最終判定データが、決済装置２００から決済端末３００に送られるようになっており、最終判定データが示す内容が、決済端末３００が備えるディスプレイに表示されるようになっている。
　ここで、第三者にワンタイムパスワードが不正に使用されてしまったと仮定する。例えば、ユーザが、自分が支払いを行うために、自らのユーザ端末１００で発生させたワンタイムパスワードを渡そうと思っていた相手以外の者が管理する決済端末３００から、盗まれたワンタイムパスワードが、決済装置２００に対して送信されてしまったとする。この場合、そのワンタイムパスワードによる支払いは、決済装置２００の最終判定部２２５により承認されてしまう場合がある。もっとも、上述したように、最終判定部２２５が、決済端末３００から送られてきたワンタイムパスワードによる支払いに対して肯定的な判定を行うためには、ワンタイムパスワードの一致と、ユーザ端末１００と決済端末３００との距離が近いことと、そしてワンタイムパスワードの有効期限が切れていないこと、の３つの要件がすべて充足されることがこの実施形態では必要である。したがって、ユーザが盗まれて決済装置２００に送られたワンタイムパスワードが決済装置２００のＯＴＰ生成部２２７で作られたワンタイムパスワードと一致したとしても、他の２つの要件が充足されなければ、最終判定部２２５が決済を認めることはない。しかしながら、その２つの条件が充足される場合もあるし、またそもそもこれら２つの条件は、この実施形態における決済システムにおいて必ずしも必須のものではないため、これら２つの条件がそもそも最終判定部２２５において考慮されない場合もあり得る。そのような場合には、上述のワンタイムパスワードの一致の条件が満足されたのであれば、決済装置２００の最終判定部２２５は、そのワンタイムパスワードによる支払いを承認する。
　この場合、最終判定データが、決済装置２００から決済端末３００に送られることになる。かかる最終判定データは、決済が認められたということを示すものとされている。ただし、ここで問題なのは、支払いが受けられることになった決済端末３００の管理者は、ユーザが本来支払いを行おうと意図していた相手とは別である、ということである。この段階では、ユーザが本来支払いを行おうとしていた相手が管理者となっている決済端末３００には、最終判定データが届いていない。他方、上述したように、最終判定データは、ユーザ端末１００にも送られる場合がある。しかしながら、仮にこの段階でユーザ端末１００に最終判定データが送られて来たとしても、それはそのユーザから、ユーザが本来支払いを行うつもりのなかった相手への支払いを決済装置２００が認めた、という内容になる。ユーザ端末１００のディスプレイに表示される情報の程度にもよるが、ユーザはその内容からは、自己のユーザ端末１００にて発生させたワンタイムパスワードが第三者に不正に使用されたことに気づかない可能性がある。
　他方、ユーザが自己のユーザ端末１００にて発生させたワンタイムパスワードを第三者に既に使用されてしまった後に、つまりそのワンタイムパスワードによって誰かへの支払いが成立してしまった後に、ユーザがそのワンタイムパスワードを、ユーザが本来支払いをしようとした相手に対して渡したとする。この場合そのワンタイムパスワードは、その相手が管理者となっている決済端末３００から、決済装置２００に送られる。しかしながら、そのワンタイムパスワードは既に、過去の支払いに使用されてしまっているから、決済装置２００の最終判定部２２５は、そのワンタイムパスワードによる支払いを再び認めることはない。例えば、そのワンタイムパスワードが過去（例えば、一定の時間の範囲内）に利用されたものであることは、最終判定部２２５が上述した記録媒体に記録されているワンタイムパスワードの中に今最終判定の対象となっているワンタイムパスワードと同じものが存在するか否かを検索し、同じものが存在するのであれば、そのワンタイムパスワードが過去に利用されたものであると判定することができる。
　かくして、この場合に決済装置２００から、決済端末３００へ送られる最終判定データは、決済が認められないということを示すものとなる。本来支払いを受けるべき者であったその決済端末３００を管理者は、決済装置２００で決済が認められなかったことをワンタイムパスワードを渡してきたユーザに告げる。
　これを聞いたユーザは、過去にワンタイムパスワードの不正利用があったことを認識し、上述の取消の処理を実行すればよい。これにより、ワンタイムパスワードの不正利用を防ぐことが可能となる。なお、２回目のワンタイムパスワードの使用の試みがあったことを、上述のように決済装置２００は把握することが可能である。その旨を、或いはワンタイムパスワードの不正利用を行おうとする者がいることを、決済装置２００はユーザ端末１００に通知するようになっていても良い。

［変形例］
　変形例の決済システムについて説明する。この変形例における決済システムは基本的に、第１実施形態の決済システムと同様に構成され、それが実行する決済の流れも、第１実施形態の決済システムの場合と同様である。
　第１実施形態と変形例の決済システムで異なるのは、決済装置２００の最終判定部２２５における、ワンタイムパスワードの生成のタイミング及びその方法と、最終判定の行い方であり、また、それに付随して、決済端末３００から決済装置２００に送られるデータにも変更がある。

　第１実施形態では、上述したように、決済端末３００から決済装置２００に対して、決済申込情報と、ワンタイムパスワードとを送信する場合には、それらと共にユーザＩＤもが送信されるようになっていた。
　決済端末３００から送信された、ユーザ端末１００で生成されたワンタイムパスワードは、決済装置２００のＯＴＰ生成部２２７で生成されたワンタイムパスワードと最終判定部２２５で対比されるものであるから、決済申込情報と共に、決済端末３００から決済装置２００に送られることが必要となる。他方、決済申込情報とワンタイムパスワードとを決済端末３００から決済装置２００に送信するにあたって、ユーザＩＤの送信が必要な理由として、第１実施形態では、『決済装置２００がワンタイムパスワードを生成するための条件はユーザ毎に異なるため（例えば、この実施形態ではユーザ毎に割当てられた初期値が異なるが、用いる数式つまりアルゴリズムをユーザ毎に変えることも可能である。）、決済装置２００においてユーザ毎に異なる条件のうちのどの条件でワンタイムパスワードを生成させるかを確定するために、ユーザを特定するための情報が必要となる。』と説明した。つまり、決済端末３００から送信された、ユーザ端末１００で生成されたワンタイムパスワードは、決済装置２００のＯＴＰ生成部２２７で生成されたワンタイムパスワードと最終判定部２２５で対比されるものであるところ、決済の処理の間に両ワンタイムパスワードが一致するようにするためには、決済装置２００で、その決済を求めているユーザについてのワンタイムパスワードを生成する必要があるが、その決済を求めているユーザが誰か特定できない限り、正しいワンタイムパスワードを生成することができないから、第１実施形態では、決済申込情報及びワンタイムパスワードと共に、ユーザを特定するためのユーザＩＤをも決済端末３００から決済装置２００に送るようにする、というのが第１実施形態における理屈である。したがって、第１実施形態では、決済申込情報及びワンタイムパスワードと共に、ユーザＩＤか、或いはユーザを特定するための他の情報である署名、指紋や静脈の性状等の情報を、決済端末３００から決済装置２００に送信することとしていた。
　しかしながら、決済申込情報及びワンタイムパスワードに加えて、ユーザＩＤ、署名、指紋や静脈の性状等の情報の如きユーザを特定するための情報を決済端末３００から決済装置２００に対して送らなくとも、決済装置２００の最終判定部２２５で、ユーザ端末１００で生成されたワンタイムパスワードと、決済装置２００で生成されたワンタイムパスワードとを正しく比較することは可能である。
　この変形例は、そのような決済システムに関する。

　変形例の決済システムでは、上述したように、決済端末３００から決済装置２００に、決済申込情報が送信される際に、決済申込情報にユーザ端末１００で生成されたワンタイムパスワードは付加されるが、ユーザＩＤを始めとするその決済を行おうとしているユーザを特定するための情報は付加されない。

　他方、変形例の決済システムでは、ＯＴＰ生成部２２７がワンタイムパスワードを生成するタイミングが第１実施形態とは異なる。第１実施形態では、主制御部２２２からワンタイムパスワードを生成せよとの指示を受けるとワンタイムパスワードを生成するようになっていたが、かかる指示は主制御部２２２が、データ入出力部２２１から、決済端末３００から送られてきた決済申込情報とワンタイムパスワードとを受取った後に出されていた。
　しかし、この変形例では、与信判定部２２３が仮許可情報を生成するのと同時に、或いはその後遅滞なく、少なくとも決済端末３００から決済申込情報及びワンタイムパスワードが送られてくるよりも前に、ＯＴＰ生成部２２７はワンタイムパスワードを生成する。これには限られないが、この変形例では、与信判定部２２３が生成した仮許可情報が与信判定部２２３から主制御部２２２に送られると、主制御部２２２は、ワンタイムパスワードを生成せよとの指示を、その仮許可情報の対象となっているユーザＩＤと共に、ＯＴＰ生成部２２７に送る。この指示を受取ったＯＴＰ生成部２２７は、主制御部２２２から受取ったユーザＩＤを用いて、より正確にはそのユーザＩＤと紐付けられていた初期値を用いて、そのユーザＩＤを持つユーザ用のワンタイムパスワードを生成する。ワンタイムパスワードの生成方法自体は、第１実施形態の場合と同じで良い。ＯＴＰ生成部２２７は、生成したワンタイムパスワードを、遅滞なく最終判定部２２５に送る。ここまでの処理を、この変形例では、与信判定部２２３が仮許可情報を生成するのと同時に、或いはその後遅滞なく、少なくとも決済端末３００から決済申込情報及びワンタイムパスワードが送られてくるよりも前に終わらせる。
　最終判定部２２５は、ＯＴＰ生成部２２７から送られたワンタイムパスワードを保持する。この場合、最終判定部２２５には、各ユーザ端末１００を保持するユーザが支払いを行おうとしたことにより、ＯＴＰ生成部２２７によって生成された多数のユーザ用の多数のワンタイムパスワードが保持されることになる。

　そのような状態が生じているときに、あるユーザが、決済端末３００を通して、決済申込情報と共に、そのユーザが持つユーザ端末１００で生成したワンタイムパスワードを、決済装置２００に送信してきたとする。その決済申込情報及びワンタイムパスワードは、決済装置２００の送受信部で受取られ、データ入出力部２２１を介して、主制御部２２２へと送られる。主制御部２２２は、受取った決済申込情報とワンタイムパスワードとを、最終判定部２２５へと送る。
　最終判定部２２５は、このとき、主制御部２２２がから受取ったワンタイムパスワードと、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードとを保持している。最終判定部２２５は、主制御部２２２から受取ったワンタイムパスワードと、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードとを比較する。最終判定部２２５は、主制御部２２２から受取ったワンタイムパスワードが、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードの一つと一致した場合には、ユーザから、その決済申込情報及びワンタイムパスワードを送ってきた決済端末３００の管理者への支払いを認め、主制御部２２２から受取ったワンタイムパスワードが、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードのいずれとも一致しない場合には、その支払を認めない。最終判定部２２５は、ユーザ端末１００で生成されたワンタイムパスワードと、ＯＴＰ生成部２２７が生成した多数のワンタイムパスワードとを比較することになるが、あるユーザ端末１００を用いての決済の処理が開始され、仮許可情報が生成された後に、その同じユーザの支払いについての決済申込情報が決済端末３００から決済装置２００に送られてくるまでの間に決済装置２００のＯＴＰ生成部２２７で生成されるワンタイムパスワードの数は、ユーザ端末１００で生成されたワンタイムパスワードに有効期限があるから、多数ではあるものの莫大な数とはならず、また、その間にＯＴＰ生成部２２７で作られる複数のユーザ用のワンタイムパスワードに同じものが生じる可能性はまずない。
　したがって、最終判定部２２５は、この変形例の方法によっても、第１実施形態の場合と同様に、正しく最終判定データを生成することができる。
　最終判定部２２５が最終判定を行うにあたり、位置情報を利用することができること、及び時刻情報を利用することができることについては、第１実施形態の場合と変わらない。
　ただし、第１実施形態の場合には、ユーザ端末１００で生成され、決済端末３００を介して送られてきたワンタイムパスワードと、決済装置２００のＯＴＰ生成部２２７で生成された多数のワンタイムパスワードとの対比を先に行い、ＯＴＰ生成部２２７で生成された多数のワンタイムパスワードの中に、決済端末３００から送られてきたワンタイムパスワードと一致するものが存在した場合には、ＯＴＰ生成部２２７で生成された多数のワンタイムパスワードのうちの、決済端末３００から送られてきたワンタイムパスワードと一致したそのワンタイムパスワードを生成する際に用いられたユーザＩＤと紐付けられたユーザ端末１００の位置情報を、他のユーザ端末１００から送られてきた位置情報とは区別して、その最終判定に用いるユーザ端末１００側の位置情報として特定するようにすればよい。
　同様に、ＯＴＰ生成部２２７で生成された多数のワンタイムパスワードのうちの、決済端末３００から送られてきたワンタイムパスワードと一致したそのワンタイムパスワードを生成する際に用いられたユーザＩＤと紐付けられた時刻情報を、他のユーザ端末１００を用いて決済を行うために作られた仮許可情報が作られたときの時刻情報とは区別して、その最終判定に用いる位置情報として特定するようにすればよい。
　このようにすることで、最終判定データは正しく生成することが可能となる。

≪第２実施形態≫
　第２実施形態の決済システムについて説明する。
　第２実施形態の決済システムは、概ね第１実施形態の決済システムに同じであり、その決済の処理の流れも概ね第１実施形態の場合と同じである。
　第２実施形態の決済システムも、第１実施形態の場合と同じく、そのいずれもがネットワーク４００に対して接続可能とされている、多数のユーザ端末１００、一つの決済装置２００、及び多数の決済端末３００を含んで構成されている。

　第２実施形態の決済システムの第１実施形態の決済システムと異なる点は、端的に言えば、第１実施形態の決済システムでは、ユーザは、誰に対して支払いを行うかという意思表示を決済装置２００に対して行わなかったのに対して、第２実施形態の決済システムでは、ユーザが、誰に対して支払いを行うかという意思表示を決済装置２００に対して行う、という点である。
　それを実現するために、第２実施形態の決済システムは以下のように構成されている。第２実施形態で行われる処理の流れを交えつつ、第２実施形態の決済システムの構成について説明する。

　まず、第２実施形態のユーザ端末１００について説明する。
　第２実施形態でもユーザ端末１００は、第１実施形態の場合と同様に情報処理を行う制御部１２０を有している。制御部１２０は、第１実施形態のユーザ端末１００における制御部１２０と同様のものとされているが、第２実施形態の制御部１２０には、第１実施形態の場合には存在しなかった決済端末データ記録部１２５が含まれている。
　決済端末データ記録部１２５は、決済端末３００についてのデータを記録するものである。具体的には、決済端末データ記録部１２５には、第１実施形態における決済装置２００の位置情報記録部２２６に記録されている、図８に示したようなデータが記録されている。つまり、決済端末データ記録部１２５には、決済端末ＩＤと、各決済端末２００の位置情報とが互いに紐付けた状態で記録されている。決済端末ＩＤと、決済装置２００の位置情報の意義は、第１実施形態におけるそれらと同じである。また、決済端末データ記録部１２５に記録されている決済端末ＩＤ及び位置情報は、決済装置２００の位置情報記録部２２６に記録されているそれらと完全に一致している。ただし、決済端末データ記録部１２５には、決済端末ＩＤと各決済端末２００の位置情報とに加えて、各決済端末２００が置かれている飲食店や店舗の名称、電話番号、住所、及び飲食店や店舗をユーザが認識するのに役立つロゴ等が、それぞれの決済端末ＩＤと紐付けた状態で記録されていても構わない。

　第１実施形態の決済システムでは、ユーザがＳ９１１の決済の処理を開始した場合には、ユーザは続けて、自らのユーザ端末１００に、ユーザＩＤと、パスワードと、決済金額とを入力することになっていた。
　これに対して、第２実施形態の決済システムでは、ユーザは、自らのユーザ端末１００に、ユーザＩＤと、パスワードと、決済金額とに加えて、支払いを行う対象となる支払先を特定する情報を入力することになっている。支払先を特定する情報は事実上、その支払先となる店舗等に置かれている決済端末２００を特定する情報である。
　第２実施形態では、決済の処理が開始されると、ユーザ端末１００のディスプレイ１０１に、図１７（Ａ）に示したような画像が表示される。第１実施形態の場合と異なり、第２実施形態の場合におけるかかる画像は、ユーザＩＤと、パスワードと、決済金額との入力に加えて、支払先を特定する情報の入力をもユーザに促すものとなっている。かかる画像は、第１実施形態の場合と同様、主制御部１２１の制御下で、表示制御部１２２が生成し、表示制御部１２２がディスプレイ１０１に表示させる。
　ユーザは、第１実施形態の場合と同様に、ユーザＩＤと、パスワードと、決済金額とを入力装置１０２を用いて入力する。また、ユーザは、支払先を特定するための情報を入力する。支払先の情報は、ユーザが支払先の店舗名等を打込むことによって入力するようにすることもできるが、ユーザの負担を減らし、またユーザによる入力の誤りを減らすことを重視するのであれば、支払先の店舗等を所定の候補からユーザに選択させるようになっているのが好ましい。この実施形態では、必ずしもその限りではないがそうされている。
　ユーザが支払先の入力をしようとすると、この実施形態では、図１８に示したようなウィンドウがポップアップするようになっている。そのウィンドウの中には、★で示されたユーザの現在位置の近くに存在する、決済端末２００が置かれている店舗等の候補が、例えば、まるで囲まれた９、１９、２２の数字として、ユーザの現在地の近辺を示す地図上に表示される。９、１９、２２の丸で囲まれた数字は、これには限られないが、この実施形態では、決済端末ＩＤに等しい。また、地図の外側、この例では、地図の右側に、それぞれの店舗等の名称と電話番号が、ユーザが正しく店舗等を選択することの助けとなるようにして、地図上に示された上述の１～３の符号と紐付けられた状態で表示される。
　表示される地図の範囲の選択、及び地図上に表示されるユーザの現在位置の特定と、支払先の候補となる店舗等の選択は、ユーザ端末１００のＧＰＳ機構からデータ入出力部１２３を介して主制御部１２１に送られた、ユーザ端末１００の現在の位置を示す位置情報を用いて、主制御部１２１が決定するようになっている。この実施形態では、この時点で、ＧＰＳ機構がユーザ端末１００が存在する位置についての位置情報を生成する。また、地図の外側に表示される、店舗等に関する情報の作成も、主制御部１２１が行うようになっている。なお、主制御部１２１は、かかる処理の一部を、ネットワーク４００を介して接続された外部のクラウドに記録されたソフトウェアを利用して行っても構わない。その場合には例えば、決済端末データ記録部１２５は、ユーザ端末１００の外部に存在することもあり得る。
　具体的には、主制御部１２１は、上述の表示をディスプレイ１０１上に行うにあたって、ユーザ端末１００の現在の位置を示す位置情報に基づいて、例えばGoogle Inc.が提供しているグーグルマップ（商標）などで用いられている周知又は公知の手法でディスプレイ１０１に表示すべき地図の範囲を選択する。また主制御部１２１は、位置情報によりユーザ端末１００の現在位置を特定することが可能となり、地図上におけるその現在位置に★のマークを表示するようにする。また主制御部１２１は、ユーザ端末１００の現在の位置を示す位置情報により特定される位置から近い位置を特定する位置情報を持つ決済端末２００の決済端末ＩＤに加え、当該位置情報と紐付けられた、それら店舗等の名称、電話番号等のデータを決済端末データ記録部１２５から読み出す。それぞれの位置情報に店舗等の位置情報が示す地図上の位置に○で囲んだ決済端末ＩＤを表示することで、地図上に、ユーザがいる位置の近くにある店舗等であってユーザが支払いを行おうとする候補となりうるものを表示することができる。また、決済端末ＩＤと紐付けられたそれら店舗等の名称、電話番号等を、地図の外側に表示することができる。もちろん、表示される店舗等の候補は３つだけとは限らない。主制御部１２１はこれら情報を表示制御部１２２に送り、表示制御部１２２に、図１８に示したような画像をディスプレイ１０１に表示させる。
　ユーザは、入力装置１０２を操作して、９、１９、２２の候補の中から一つを選択し、決定と書かれたボタンをクリックする。そうすると、ポップアップされた図１８に示したウィンドウが閉じ、図１７（Ｂ）に示したように、支払先と書かれた部分の右側の枠の中に、ユーザが選択した店舗等の決済端末ＩＤと名称が自動的に書き込まれる。この例では、決済端末ＩＤが１９である決済端末３００がその店舗等に設置された「○○ＣＡＦＥ」が、ユーザが支払いを行おうとする相手側として選択された。これらディスプレイ１０１上の表示も、主制御部１２１の制御下で、表示制御部１２２が制御する。これにより、ユーザ端末１００には、ユーザＩＤと、パスワードと、決済金額と、支払先を特定する情報とが、入力された状態となる。これら４つの情報は、データ入出力部１２３から主制御部１２１に送られる。
　ユーザＩＤとパスワードと金額情報と、そして支払先を特定するための情報の入力が終わったら、ユーザは、ディスプレイ１０１に表示された「決定」と書かれたボタンをクリックする。

　「決定」と書かれたボタンをユーザがクリックすると、主制御部１２１は、ユーザＩＤとパスワードと金額情報と支払先を特定する情報に加えて、位置情報と、主制御部１２１の図示を省略された記録手段に記録された端末情報とをすべて一纏めにして、それらをデータ入出力部１２３に送る。データ入出力部１２３は、それらデータをまとめて送受信部に送り、送受信部は、それらデータをまとめてネットワーク４００を介して決済装置２００に送るようになっている。これは第１実施形態におけるＳ９１３の処理に相当する。

　決済装置２００は、第１実施形態におけるＳ９２１の処理と同様に、それらデータを受取り、第１実施形態におけるＳ９２２の処理と同様にして、与信の判定を実行する。第２実施形態における支払先を特定するための情報以外のユーザ端末１００から決済装置２００に送られた各情報の取扱いは、第１実施形態の場合と変わらない。また、与信の判定の処理には、第２実施形態ではユーザ端末１００から決済装置２００に送られる支払先を特定するための情報は用いられないため、第２実施形態の場合でも第１実施形態のときと変わらない。
　支払先を特定するための情報は、第２実施形態では、データ入出力部２２１から主制御部２２２を介して最終判定部２５５に送られる。最終判定部２５５には、最終判定部２５５が最終判定を行う際に支払先を特定するための情報が届いていれば良い。

　第１実施形態で説明した、決済装置２００で実行される、仮許可情報の生成（Ｓ９２３）及び仮許可情報の送信（Ｓ９２４）、ユーザ端末１００で実行される、仮許可情報（Ｓ９１４）及びワンタイムパスワードの生成（Ｓ９１５）、決済端末３００で行われる、ユーザＩＤとワンタイムパスワードの入力（Ｓ９３１）、ユーザＩＤとワンタイムパスワードの送信（Ｓ９３２）の各処理、及び決済装置２００で行われるユーザＩＤとワンタイムパスワードの受信（Ｓ９２５）の処理は、第２実施形態でも同様に実行される。

　次いで、第１実施形態と同様に、最終判定の実行（Ｓ９２６）がなされる。
　第１実施形態の最終判定では、ユーザ端末１００が生成し、決済端末３００から送られてきたワンタイムパスワードと、ＯＴＰ生成部２２７が生成したワンタイムパスワードとを比較してこれらが一致すること、が最終判定で決済が肯定されるための一つ目の条件となった。また、ユーザ端末１００が生成し、ユーザ端末１００から送られてきた位置情報と、位置情報記録部２２６から読み出された位置情報とを比較して、両位置情報により特定される位置が、所定の距離よりも近いこと、が最終判定で決済が肯定されるための二つ目の条件となった。そして、与信判定部２２３が生成した時刻情報により特定される時刻と、最終判定が行われた時刻とを対比し、その時間間隔が所定の時間間隔以内であること、が最終判定で決済が肯定されるための三つ目の条件となった。そして、これら３つの条件がすべて満足されたときにのみ、最終判定部２２５は、その決済を認めるという肯定的な最終判定データを生成することとしていた。
　これに対して、第２実施形態では、ユーザ端末１００が生成し、決済端末３００から送られてきた決済端末ＩＤと、決済申込情報等の送信元となった決済端末３００の決済端末ＩＤとを比較して、それらが一致すること、を最終判定で決済が肯定されるための四つ目の条件とする。つまり、この実施形態では、以上４つの条件がすべて満足されたときにのみ、最終判定部２２５は、その決済を認めることになる。なお、上記条件のうち、二つ目と三つ目の条件を省略することができるのは、第１実施形態の場合と同様である。

　第２実施形態の決済システムにおいて実行される、最終判定データが生成された後の処理は、第１実施形態の場合と同様である。

Claims

　所定のネットワークにそのそれぞれが接続可能とされた、
　情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、
　前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、
　情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、
　を含んで構成されている決済システムであって、
　前記ユーザ端末は、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力できるようになっており、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信するようになっているとともに、前記ユーザ端末情報処理手段は、ワンタイムパスワードを生成するユーザ端末ＯＴＰ生成部を備えており、
　前記決済装置は、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取るようになっており、前記決済装置情報処理手段は、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する与信判定部と、決済の最終判定を行う最終判定部と、前記ユーザ端末と同じワンタイムパスワードを生成する決済装置ＯＴＰ生成部とを備えており、前記決済装置送受信手段は、前記与信判定部が生成した仮許可情報を前記ネットワークを介して前記ユーザ端末に送信するようになっているとともに、
　前記仮許可情報を前記決済装置から前記ユーザ端末が前記ユーザ端末送受信手段にて受付けると、前記ユーザ端末ＯＴＰ生成部が、ワンタイムパスワードを生成するようになっており、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記与信判定部で前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置ＯＴＰ生成部で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記最終判定部が、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっている、
　決済システム。
　所定のネットワークにそのそれぞれが接続可能とされた、
　情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、
　前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、
　情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、
　を含んで構成されている決済システム、を構成するためのユーザ端末であって、
　前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力できるようになっており、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信するようになっているとともに、前記ユーザ端末情報処理手段は、ワンタイムパスワードを生成するユーザ端末ＯＴＰ生成部を備えており、
　前記決済装置は、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取るようになっており、前記決済装置情報処理手段は、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する与信判定部と、決済の最終判定を行う最終判定部と、前記ユーザ端末と同じワンタイムパスワードを生成する決済装置ＯＴＰ生成部とを備えており、前記決済装置送受信手段は、前記与信判定部が生成した仮許可情報を前記ネットワークを介して前記ユーザ端末に送信するようになっているとともに、
　前記仮許可情報を前記決済装置から前記ユーザ端末が前記ユーザ端末送受信手段にて受付けると、前記ユーザ端末ＯＴＰ生成部が、ワンタイムパスワードを生成するようになっていることにより、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記与信判定部で前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置ＯＴＰ生成部で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記最終判定部が、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっている、
　ユーザ端末。
　前記ユーザ情報は、ユーザが、前記ユーザ端末入力手段を用いて入力を行うユーザＩＤと、前記ユーザ端末のそれぞれに対して割り振られたユニークな端末情報の双方を含む、
　請求項２記載のユーザ端末。
　前記ユーザ端末は、前記ユーザ端末が存在する位置を特定するための情報である位置情報を生成する位置情報生成手段を備えており、前記ユーザ端末送受信手段は、前記位置情報を前記決済装置に送信するようになっており、
　前記決済装置の前記最終判定部は、前記ユーザ端末から前記ワンタイムパスワードをその前記決済端末送受信手段で送って来た前記決済端末の位置が、前記ユーザ端末の前記位置情報生成手段で生成された位置情報で特定される位置から、所定の距離以内の場合に限り、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっている、
　請求項２記載のユーザ端末。
　前記ユーザ端末送受信手段は、前記位置情報を、前記金額情報、及び前記ユーザ情報と一緒に、前記決済装置に送信するようになっている、
　請求項４記載のユーザ端末。
　前記ユーザ端末入力手段は、前記決済装置の前記最終判定部が決済を許可した後において、そのユーザ端末を用いて過去に行われた決済の一つを特定しそれを取消すためのユーザ端末取消情報を入力できるようになっているとともに、前記ユーザ端末送受信手段は、前記ユーザ端末取消情報を前記ネットワークを介して前記決済装置に送るようになっており、
　前記決済装置情報処理手段は、前記ユーザ端末取消情報を受付けたときに、前記ユーザ端末取消情報で特定された決済を取消す、取消手段を備えている、
　請求項２記載のユーザ端末。
　所定のネットワークにそのそれぞれが接続可能とされた、
　情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、
　前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、
　情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、
　を含んで構成されている決済システム、を構成するためのユーザ端末に含まれるユーザ端末情報処理手段にて実行される方法であって、
　前記ユーザ端末情報処理手段が、
　前記ユーザ端末入力手段により、決済の対象となる金額を特定する情報である金額情報の入力を受付ける過程と、
　前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信する過程と、
　前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取った前記決済装置において、前記決済装置情報処理手段が、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し、前記与信判定で前記決済が可能であると判定した場合にその旨を示す情報である仮許可情報を生成し、その仮許可情報を前記決済装置送受信手段が、前記ネットワークを介して前記ユーザ端末に送信した場合に、それを前記ユーザ端末送受信手段により受付ける過程と、
　前記仮許可情報を前記決済装置から前記ユーザ端末が受付けた場合に、ワンタイムパスワードを生成する過程と、
　を含んでいることにより、
　前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記決済装置情報処理手段で、前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記決済装置情報処理手段が、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを許可する、
　方法。
　所定のネットワークにそのそれぞれが接続可能とされた、
　情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、
　前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、
　情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、
　を含んで構成されている決済システム、を構成するためのユーザ端末としてコンピュータを機能させるためのコンピュータプログラムであって、
　前記コンピュータに、
　前記ユーザ端末入力手段により、決済の対象となる金額を特定する情報である金額情報の入力を受付ける過程と、
　前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信する過程と、
　前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取った前記決済装置において、前記決済装置情報処理手段が、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し、前記与信判定で前記決済が可能であると判定した場合にその旨を示す情報である仮許可情報を生成し、その仮許可情報を前記決済装置送受信手段が、前記ネットワークを介して前記ユーザ端末に送信した場合に、それを前記ユーザ端末送受信手段により受付ける過程と、
　前記仮許可情報を前記決済装置から前記ユーザ端末が受付けた場合に、ワンタイムパスワードを生成する過程と、
　を実行させることにより、
　前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記決済装置情報処理手段で、前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記決済装置情報処理手段が、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを許可するようになっている、
　コンピュータプログラム。
　所定のネットワークにそのそれぞれが接続可能とされた、
　情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、
　前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、
　情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、
　を含んで構成されている決済システム、を構成するための決済装置であって、
　前記ユーザ端末は、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報を入力できるようになっており、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とを、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信するようになっているとともに、前記ユーザ端末情報処理手段は、ワンタイムパスワードを生成するユーザ端末ＯＴＰ生成部を備えており、
　前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取るようになっており、前記決済装置情報処理手段は、前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する与信判定部と、決済の最終判定を行う最終判定部と、前記ユーザ端末と同じワンタイムパスワードを生成する決済装置ＯＴＰ生成部とを備えており、前記決済装置送受信手段は、前記与信判定部が生成した仮許可情報を前記ネットワークを介して前記ユーザ端末に送信するようになっているとともに、
　前記仮許可情報を前記決済装置から前記ユーザ端末が前記ユーザ端末送受信手段にて受付けると、前記ユーザ端末ＯＴＰ生成部が、ワンタイムパスワードを生成するようになっており、前記ユーザ端末で生成されたそのワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置の前記与信判定部で前記仮許可情報が生成されたのと同時かその後に前記決済装置の前記決済装置ＯＴＰ生成部で生成されたワンタイムパスワードと一致したことを条件に、前記決済装置の前記最終判定部が、そのワンタイムパスワードによる前記ユーザ端末の使用者から、前記決済端末の管理者への支払いを許可するようになっている、
　決済装置。
　前記最終判定部は、ユーザが、前記ユーザ端末入力手段によって、前記金額情報を入力するための処理を開始してから、前記最終判定部が決済の最終判定を行う前までのうちの所定の時点から、前記最終判定部が決済の最終判定を行うまでの時間が、予め定められた時間間隔よりも短い場合にのみ、決済を許可するようになっている、
　請求項９記載の決済装置。
　前記ユーザ端末入力手段は、ユーザからの支払いを受ける者が管理する決済端末を特定する情報である決済端末特定情報を入力できるようになっているとともに、前記ユーザ端末送受信手段は、前記決済端末特定情報を前記ネットワークを介して前記決済装置に送るようになっており、
　前記最終判定部は、前記決済装置に前記ワンタイムパスワードを送ってきた前記決済端末が、前記ユーザ端末から送られてきた前記決済端末特定情報で特定される前記決済端末と一致した場合にのみ決済を許可するようになっている、
　請求項９記載の決済装置。
　前記ユーザ端末入力手段は、前記決済装置の前記最終判定部が決済を許可した後において、そのユーザ端末を用いて過去に行われた決済の一つを特定しそれを取消すためのユーザ端末取消情報を入力できるようになっているとともに、前記ユーザ端末送受信手段は、前記ユーザ端末取消情報を前記ネットワークを介して前記決済装置に送るようになっており、
　前記決済装置情報処理手段は、前記ユーザ端末取消情報を受付けたときに、前記ユーザ端末取消情報で特定された決済を取消す、取消手段を備えている、
　請求項９記載の決済装置。
　前記決済端末入力手段は、前記決済装置の前記最終判定部が決済を許可した後において、その決済端末を用いて過去に行われた決済の一つを特定しそれを取消すための決済端末取消情報を入力できるようになっているとともに、前記決済端末送受信手段は、前記決済端末取消情報を前記ネットワークを介して前記決済装置に送るようになっており、
　前記決済装置情報処理手段は、前記決済端末取消情報を受付けたときに、前記決済端末取消情報で特定された決済を取消す、取消手段を備えている、
　請求項９記載の決済装置。
　前記決済端末入力手段は、前記決済装置の前記最終判定部が決済を許可した後において、その決済端末を用いて過去に行われた決済の一つを特定しそれを取消すための決済端末取消情報を入力できるようになっているとともに、前記決済端末送受信手段は、前記決済端末取消情報を前記ネットワークを介して前記決済装置に送るようになっており、
　前記取消手段は、前記ユーザ端末取消情報と、前記決済端末取消情報とを受付け且つそれらが特定する決済が一致したときに当該決済を取消すようになっている、
　請求項１２記載の決済装置。
　前記最終判定部は、決済を許可しなかったときに、どの決済を許可しなかったかを特定して決済を許可しなかったことを示す不許可情報を生成して前記決済装置送受信手段に送るようになっており、前記決済装置送受信手段は、前記不許可情報を前記ネットワークを介して前記決済端末に送信するようになっているとともに、
　前記不許可情報を受付けた前記決済装置は、どの決済が許可されなかったかを前記決済装置を管理者に通知するようになっている、
　請求項１２～１４のいずれかに記載の決済装置。
　所定のネットワークにそのそれぞれが接続可能とされた、
　情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、
　前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、
　情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、
　を含んで構成されている決済システム、を構成するための決済装置に含まれる決済装置情報処理手段にて実行される方法であって、
　前記決済装置情報処理手段が、
　前記ユーザ端末において、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報が入力された後に、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とが、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信された際に、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取る過程、
　前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する過程、
　生成した仮許可情報を、前記決済装置送受信手段により、前記ネットワークを介して前記ユーザ端末に送信する過程、
　前記仮許可情報を前記決済装置から前記ユーザ端末送受信手段にて受付けた前記ユーザ端末において、前記ユーザ端末情報処理手段が生成したワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置送受信手段で受取る過程、
　前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置で前記仮許可情報が生成されたのと同時かその後に、前記ユーザ端末と同じワンタイムパスワードを生成することのできるようにされた前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを決済する過程、
　を含む、方法。
　所定のネットワークにそのそれぞれが接続可能とされた、
　情報の入力を受付けるユーザ端末入力手段と、前記ネットワークを介してデータの送受信を行うユーザ端末送受信手段と、情報処理を行うユーザ端末情報処理手段とを備えている、ユーザが使用するユーザ端末と、
　前記ネットワークを介してデータの送受信を行う決済装置送受信手段と、情報処理を行う決済装置情報処理手段とを備えている、ユーザの支払いの決済を行う決済装置と、
　情報の入力を受付ける決済端末入力手段と、前記ネットワークを介してデータの送受信を行う決済端末送受信手段とを備えている、ユーザからの支払いを受ける者が管理する決済端末と、
　を含んで構成されている決済システム、を構成するための決済装置としてコンピュータを機能させるためのコンピュータプログラムであって、
　前記コンピュータに、
　前記ユーザ端末において、前記ユーザ端末入力手段によって、決済の対象となる金額を特定する情報である金額情報が入力された後に、前記金額情報と、前記金額情報により特定される金額の支払いを行うユーザを特定する情報であるユーザ情報とが、前記ユーザ端末送受信手段によって、前記ネットワークを介して前記決済装置に送信された際に、前記金額情報と、前記ユーザ情報とを前記ユーザ端末から前記決済装置送受信手段によって受取る過程、
　前記決済装置送受信手段が前記金額情報と、前記ユーザ情報とを受取った場合に、前記ユーザ情報で特定されるユーザについての前記金額情報で特定される金額の支払いの決済が可能か否かの判定である与信判定を実行し前記与信判定で前記決済が可能であると判定した場合に、その旨を示す情報である仮許可情報を生成する過程、
　生成した仮許可情報を、前記決済装置送受信手段により、前記ネットワークを介して前記ユーザ端末に送信する過程、
　前記仮許可情報を前記決済装置から前記ユーザ端末送受信手段にて受付けた前記ユーザ端末において、前記ユーザ端末情報処理手段が生成したワンタイムパスワードを、前記決済端末の前記決済端末入力手段から入力し、それを前記決済端末が前記決済端末送受信手段から前記ネットワークを介して前記決済装置に送った場合に、前記決済装置送受信手段で受取る過程、
　前記決済装置が前記決済端末から受取ったワンタイムパスワードが、前記決済装置で前記仮許可情報が生成されたのと同時かその後に、前記ユーザ端末と同じワンタイムパスワードを生成することのできるようにされた前記決済装置の前記決済装置情報処理手段で生成されたワンタイムパスワードと一致したことを条件に、そのワンタイムパスワードによる前記ユーザ端末の使用者から前記決済端末の管理者への支払いを決済する過程、
　を実行させるようになっている、コンピュータプログラム。
　請求項２記載のユーザ端末で生成された前記ワンタイムパスワードを、紙に印刷してなる、
　金券。
　前記ワンタイムパスワードの一部は、前記紙の一方の面に、前記ワンタイムパスワードの残部は、前記紙の他方の面に、それぞれ印刷されている、
　請求項１８記載の金券。
　請求項２記載のユーザ端末で生成された前記ワンタイムパスワードを特定するための情報を、紙に印刷してなる、
　金券。
　前記ワンタイムパスワードの一部を特定するための情報が、前記紙の一方の面に、前記ワンタイムパスワードの残部を特定するための情報が、前記紙の他方の面に、それぞれ印刷されている、
　請求項２０記載の金券。
　前記紙には、その金券を使用することが予定された者の顔が印刷されている、
　請求項１８～２１のいずれかに記載の金券。