WO2018084283A1

WO2018084283A1 - 金券

Info

Publication number: WO2018084283A1
Application number: PCT/JP2017/039934
Authority: WO
Inventors: 中村　貴利
Original assignee: 株式会社エヌティーアイ
Priority date: 2016-11-04
Filing date: 2017-11-06
Publication date: 2018-05-11
Also published as: EP3536515A4; JP2018069710A; EP3536515A1; US20190354942A1

Abstract

クレジットカードを用いた決済システムに代わるより安全性の高い決済システムを提供する。　決済システムは、ユーザ端末、決済装置、決済端末を持つ。まず、ユーザ端末でユーザＩＤとパスワードと金額を特定する金額情報を入力（Ｓ９１２）し、それを決済装置に送る（Ｓ９１３）。決済装置は、与信判定（Ｓ９２２）を行い、与信が可能なら仮許可情報を生成し（Ｓ９２３）、それをユーザ端末に送る（Ｓ９２４）。ユーザ端末はワンタイムパスワードを生成する（Ｓ９１５）。ワンタイムパスワードは、決済端末に入力される（Ｓ９３１）。決済端末から決済装置に送られたワンタイムパスワードが決済装置で作られたワンタイムパスワードと同じなら（Ｓ９２６）、決済装置はユーザの支払いを認める（Ｓ９２７）。

Description

金券

　本発明は、金券に関する。

　本願発明者は、クレジットカードに代わる新たな決済システムを提案している。それは、ユーザ端末と、決済端末と、これらとインターネットその他のネットワークを介して通信可能な決済装置とからなる決済システムである。
　それらは、例えば、特願２０１５－２４３５６４、特願２０１５－２５０７００、特願２０１５－２５６０２８等として、いずれも日本の特許出願として出願されている。

　それら決済システムの概要について簡単に説明する。ユーザ端末は、支払いを行うユーザが保有するものであり、コンピュータを含み、典型的にはスマートフォン或いはタブレットである。決済端末は、支払いを受ける者、例えば店舗、飲食店の店員等（管理者等）が管理するものであり、従来のクレジットカードを用いたシステムで例えるのであればクレジットカードリーダ、及びそれに繋がれたコンピュータに相当する。決済装置は、決済を行うか否かの決定を行う装置であり、従来のクレジットカードを用いたシステムにおいては、クレジットカード会社がこれにあたる。
　かかる決済システムにおいて決済を行うには、ユーザは、管理者等に支払いを行うことを希望する金額についての情報である金額情報と、自ら或いは自らのユーザ端末を特定するための情報であるユーザ情報とを、ユーザ端末からインターネットを介して決済装置に送信する。これを受取った、決済装置は、例えばユーザ情報を用いてユーザの認証を行った上で、そのユーザが、そのユーザが送ってきた金額情報によって特定される金額の支払いを行えるかの与信判定を行う。与信判定は、従来のクレジットカードを用いる場合における与信判定と同様に、様々な項目に関するユーザの信用の蓄積度合いに応じて行うことも可能であるし、デビットカードで実用化されているように、単純にユーザが指定したユーザの銀行口座の残高と金額情報によって特定される金額の大小に応じて行うことも可能である。いずれにせよ、与信判定の結果が肯定的なものであれば、決済システムは、ユーザの支払いを仮決定し、支払いの仮決定をした旨の情報である仮許可情報が、決済装置からユーザ端末へと送られる。
　ユーザ端末は、仮許可情報を受け取ったら、ワンタイムパスワードを生成する。ワンタイムパスワードは、数字、文字、記号等、或いはこれらの羅列であり、例えば１０桁から３０桁程度、或いはそれ以上の桁数を持つものである。例えば、インターネットバンキングの分野で、トークンを用いてワンタイムパスワードを発生させる技術が公知になっている。ユーザ端末がワンタイムパスワードを発生するための技術としては、そのような公知或いは周知の技術を用いることが可能である。ワンタイムパスワードは、ユーザがこの決済システムを用いて支払いを行うことを希望する度に生成されるものであり、多数回生成される。ユーザ端末は、そのようなワンタイムパスワードを生成するための機能を、例えばソフトウエアトークンとして、内蔵している。
　ユーザは、ユーザ端末で発生させたワンタイムパスワードを、ユーザからの支払いを受ける相手側となる決済端末の管理者等に引渡す。かかるワンタイムパスワードのユーザから管理者等への引渡しは、クレジットカードを用いた従来からのシステムにおける、ユーザから管理者等へのクレジットカードナンバーの引渡しに相当する。管理者等は、ユーザから受取ったワンタイムパスワードを何らかの手段で決済端末に入力し、インターネットを介して決済装置に送る。
　ここで、決済装置は、インターネットバンキングの分野における上述のトークンを用いた技術でそうであるように、各トークンで生成されるワンタイムパスワードと同じワンタイムパスワードを生成できるようになっている。決済端末から送られてきたワンタイムパスワードと、決済装置内で生成されたワンタイムパスワードとが一致したら、決済装置はそのワンタイムパスワードを、正当なものと認める。上述したように、ユーザ端末でワンタイムパスワードが生成される前に、そのワンタイムパスワードでユーザが幾らの支払いを行うことを希望するかということは、金額情報によって予め特定されている。決済装置は、ワンタイムパスワードが正当であると認めた場合には、決済端末の管理者に対して、そのワンタイムパスワードと紐付けられていた金額情報に相当する金額を支払う、或いは決済する。もちろん、決済装置は、自らが生成したワンタイムパスワードが、決済端末を介してユーザから送られてきたワンタイムパスワードと一致しなかった場合には、かかる決済を認めない。

　以上の如き決済システムは、通常のクレジットカードにおいては、支払いが行われるべき金額とは対応関係が無かったクレジットカードナンバーとは異なり、支払いが行われるべき金額と一対一対応したワンタイムパスワードをユーザ端末と、決済装置とで発生させ、ユーザ端末で生成したワンタイムパスワードを、ある金額の支払いを例えば一回に限り認めるための、一時的なクレジットカードナンバーとして用いる、というものである。
　かかる決済システムは、クレジットカードナンバーを悪意の第三者に盗まれたときには第三者による悪用を防ぐことができない、という従来からのクレジットカードシステムに比して、一時的なクレジットカードナンバーとしてしか機能しないワンタイムパスワードをクレジットカードナンバーの代用として用いることにより、クレジットカードを用いた従来の決済システムに比してその安全性が飛躍的に高まる、という利点を有する。

　しかしながら、本願発明者は、かかる決済システムについて更に考察を重ねた結果、かかる決済システムには、上述の利点に加えて、より大きな可能性が存在することに気が付いた。
　それは、ユーザ端末で生成されるワンタイムパスワードが持つ可能性についてである。通常のクレジットカードは、上述のように、そのクレジットカードのクレジットカードナンバーと、それにより支払いが可能な金額には関係性はない。もっとも、クレジットカードナンバーにも、そのクレジットカードナンバーで支払いを行える上限金額は存在するが、しかしながら一回ごとの支払いについての制限はクレジットカードナンバーには通常存在しない。他方、本願発明者が考案した上述の決済システムにおいてユーザ端末で生成されるワンタイムパスワードには、その例えば一回限りの支払いを行うためのワンタイムパスワードによって幾らの支払いの金額を決済できるかが決まっている。
　貨幣の本質は、価値の交換の媒介となれることと、時間を超えて価値を貯蔵できることであると言われている。とすれば、上述のワンタイムパスワードは、その交付によって支払いを行うことができ、且つ少なくとも決済端末の管理者に引渡すまで価値を貯蔵できるものであるから、貨幣としての性質を持っているといえる。つまり、上述のワンタイムパスワードは、いわゆる仮想の貨幣として機能させることが可能である。

　ところで、上述のワンタイムパスワードは、ワンタイムパスワードを構成する、数字等の羅列自体、つまり情報自体が金銭的な価値を持つ。かかる価値は、実体を持たずともよく、また電子データを媒介としてユーザから決済端末の管理者等へ引渡されても良いが、その手間を度外視するなら例えば口頭で伝えることにより、或いはそのワンタイムパスワードをユーザが管理者等に見せることにより、電子データすらも媒介とせずに引渡すことが可能なものである。
　これは大きな利点でもあるし、弱点でもある。フィンテック関連の技術が激しく話題に上っている昨今の流れを考えれば、貨幣はやがて実体を失っていくのかもしれないが、しかしながら物理的な実体を持つ貨幣に少なくとも現状の一般人は慣れ親しんでいる。特に、老人はそうである。そう考えると、ワンタイムパスワードを貨幣として機能させるための技術を普及させるには、人々が持つ旧来からの貨幣に対するイメージとも合致することが要求される。
　そして、この課題は、本願発明者が考案した上述の如き決済システムに限定されるものではなく、或いはその生成方法が限定されるものではなく、情報そのものが金銭的な価値を持つ仮想の通貨一般に共通したものであるといえる。

　本願発明は、情報そのものが金銭的な価値を持つ仮想の通貨をより一般化させるための技術を提供することをその課題とする。

　かかる課題を解決するため、本願発明者は、以下に説明する発明を提案する。
　本願発明は、数字、文字、記号或いはそれらの羅列からなり、金銭的な価値を持つ情報である金銭情報を、紙に印刷してなる、金券である。なお、本願でいう金券には、仮想通貨、暗号通貨、地域通貨、商品券、クーポン券、証券、証書等との読み方を問わず、紙に金銭情報が印刷されたものであって、紙に印刷された情報である金銭情報それ自体（紙を含まない金銭情報それ自体）に、金銭的な価値（より狭義には、決済に用いることのできる金銭的価値）が認められるもの、一般を含む。
　かかる金券であれば、ユーザは、背景技術の欄で説明したワンタイムパスワードがその一例となる、金銭的な価値を持つ情報である金銭情報を、金券を支払いを受ける相手方に対して渡すことにより、引渡すことができる。つまり、かかる金券は、一般的な貨幣（或いは紙幣）のように用いることにより、支払いの相手方への支払いを行うことが可能となるから、旧来からの貨幣に慣れ親しんだユーザにとっても、違和感無く利用することが可能であり、その普及に問題が生じにくい。
　しかも、この金券における金銭情報は、数字、文字、記号或いはそれらの羅列なのであり、その数字等の桁数が大きかったとしても、一般的なプリンタ、例えば家庭用のプリンタでも印刷することが難しくない。したがって、かかる金券は、印刷の面からしても普及に問題が生じにくい。
　金券を受取った支払いを受ける者は、金券に印刷された金銭情報を、例えば目視して自ら、背景技術の欄で説明したがごとき金銭情報を決済装置にインターネットを介して送る装置である決済端末に、テンキー、キーボード等の入力装置を用いて入力することができる。或いは、支払いを受ける者は、金券に印刷された金銭情報を撮像して画像データを得て、その画像データから読取られた金銭情報を上述の如き決済端末に入力することができる。
　なお、金銭情報には、それを用いて支払いを行うことが認められる支払いの条件（例えば、支払いの期限）が設けられていても良い。そのような支払いの条件を設けることにより、かかる金券は一般的な貨幣とは一線を画したものとなる。

　上述したように本願発明による金券は、多くの利点を持つ。しかしながら、その普及には、従来の貨幣にも増して強い安全性が求められると考えられる。
　たとえば、本願発明による金券をユーザが落としたり、或いは第三者に盗まれたりした場合には、通常の紙幣をユーザが落としたり、或いは第三者に盗まれたりしたときと同様に、その金券を第三者に使用されてしまうおそれがある。とはいえ、その金券に印刷された金銭情報に、支払いの期限、支払先の制限等の何らかの条件が付されているのであれば、その不正使用の可能性は小さくなる。
　しかしながら、それとは別種の問題として、かかる金券には、それに印刷された金銭情報を第三者に知られた場合には、金券自体はユーザの手元に存在するのに、その金銭情報を第三者に使用されてしまい、その金券或いは、その金券に印刷されていた金銭情報が本来持っていた金銭的な価値が失われてしまう可能性があるという、通常の紙幣にはないリスクがある。金券に印刷された金銭情報を第三者に盗まれたということは、手元に金券が残っているユーザには知得するのが難しいから、仮にかかる問題が生じたとしてもその発見、及び解決は難しい。
　そこで、そのような状況の発生を防止するための技術として、本願発明者は、前記金銭情報の一部は、前記紙の一方の面に、前記金銭情報の残部は、前記紙の他方の面に、それぞれ印刷されている、という金券を提案する。かかる金券であれば、悪意の第三者が金券に印刷された金銭情報を盗もうとした場合には、その金券の両面を見る（或いは、写真に撮る）ことが必要となるから、金銭情報を盗まれる可能性は、金銭情報が紙の一方の面のみに印刷されている場合に比して格段に小さくなる。

　本願発明者は、また、本願発明の他の態様として、数字、文字、記号或いはそれらの羅列からなり、金銭的な価値を持つ情報である金銭情報を特定するための情報である特定情報を、紙に印刷してなる、金券をも提案する。
　かかる金券は、金銭情報そのものを紙に印刷したものではなく、金銭情報を特定する金銭情報と例えば一対一対応する情報である特定情報を印刷したものとなっている。かかる特定情報を印刷した金券も、金銭情報を印刷した上述の金券同様、一般的な貨幣のように用いることにより、支払いの相手方への支払いを行うことが可能となるから、旧来からの貨幣に慣れ親しんだユーザにとっても、違和感無く利用することが可能であり、その普及に問題が生じにくい。
　特定情報の一例は、一次元、或いは二次元のバーコードである。もちろんその他の情報を特定情報として採用することも可能である。
　特定情報も、金銭情報を特定することができる程度の情報量を持つことができれば十分であり、金銭情報と同様に、一般的なプリンタで印刷することが難しくない。したがって、かかる金券も、印刷の面からしても普及に問題が生じにくい。例えば、バーコードの印刷であれば、家庭用のプリンタで十分に行える。
　また、特定情報を印刷したかかる金券は、更なる利点を有する。特定情報はいわば、金銭情報に対して何らかの可逆的な変換を行ったものである。そのような特定情報を印刷した金券であれば、少なくとも悪意の第三者がその金券を見たとしても、金銭情報を直ちには知得することができなくなる。したがって、特定情報を印刷した金券は、金銭情報を印刷した金券より少なくともその安全性が高い。
　特定情報を印刷した金券を受取った支払いを受ける者は、金券に印刷された特定情報を読取機、例えば特定情報がバーコードである場合にはバーコードリーダで読取り、背景技術の欄で説明したがごとき金銭情報を決済装置にインターネットを介して送る装置である決済端末にバーコードリーダから入力することができる。

　特定情報を持つ金券は、以下のようなものとすることができる。
　前記特定情報は、前記金銭情報の一部を特定するための情報である第１特定情報と、前記金銭情報の残部を特定するための情報である第２特定情報とからなり、前記紙の一方の面に、前記第１特定情報が、前記紙の他方の面に、前記第２特定情報が、それぞれ印刷されていてもよい。
　これによれば、金銭情報を紙の表裏両面に印刷した上述の金券の場合と同様の理由で、その安全性が高まる。なお、第１特定情報と第２特定情報とを紙の表裏両面にそれぞれ印刷した場合には、悪意の第三者がかかる金券における金銭情報乃至特定情報を盗もうとした場合には、かかる金券の両面にある第１特定情報と第２特定情報との双方をバーコードリーダ等の読取機で読取るか、少なくともそれらの双方を写真に撮る必要がある。そのハードルはかなり高いから、かかる金券の安全性は高い。
　前記特定情報は、それらを併せて前記金銭情報を特定することのできる第３特定情報と第４特定情報とからなり、前記紙の一方の面に、前記第３特定情報が、前記紙の他方の面に、前記第４特定情報が、それぞれ印刷されていてもよい。このような金券によっても、第１特定情報と第２特定情報とがそれぞれ紙の表面と裏面とに印刷された金券と同様に、金銭情報を第三者に盗まれる可能性は低い。第３特定情報と第４特定情報の例は、例えば、第３特定情報が、金銭情報を含む金銭情報よりも長い文字列を特定するものであり、第４特定情報が、第３特定情報により特定される上述の長い文字列の中のどの部分が金銭情報であるかを特定する情報である場合である。

　ここまでに説明した金券は、その安全性はある程度高いものであるが、有体物としての金券が第三者の手に渡ったときは、その悪用を防ぐのが難しい。そこでそのような場合においてもある程度、第三者の悪用を防ぐことのできる金券をも本願発明者は提案する。それは次のようなものである。
　以上において、金銭情報が紙に印刷された金券と、特定情報が紙に印刷された金券とについて説明したが、それらに含まれる前記紙には、その金券を使用することが予定された者の顔（顔写真）が印刷されていてもよい。
　このような金券であれば、ユーザから支払いを受けるべき者が金券を受取った場合に、その金券に印刷された顔とその金券を差出したユーザの顔との一致を確認し、その確認が行えた場合にのみ、その金券による決済に必要な処理（例えば、決済端末に対する金券に記載されていた金銭情報の入力）を行うことにすれば、金券を落としたり第三者に盗まれた場合においても、その金銭情報又は特定情報の不正使用（不正な決済）を防止することができるようになる。このような金券の不正使用の防止は、金券に顔認証の機能を追加するものといえるが、そのような機能を現在用いられている通貨に追加することはまったく不可能なものである。これをもって、この金券の安全性は、一般的な通貨のそれを超えた。
　なお、金券に印刷される顔は、その金券に印刷された金銭情報又は特定情報を発行したものと一致する必要はない。あくまでも、その金券の使用が予定された者である。一旦顔が印刷された金券の使用予定者が変更された場合には、その金券に印刷された金銭情報、又はその金券に印刷された特定情報により特定される金銭情報が未だに有効なのであれば、元の金券を破棄し、新たな使用予定者の顔が印刷された新たな金券を再度印刷してそちらを使用可能とすることも可能である。

第１実施形態による決済システムの全体構成を示す図。図１に示した決済システムに含まれるユーザ端末の外観を示す図。図１に示した決済システムに含まれるユーザ端末のハードウェア構成を示す図。図１に示した決済システムに含まれるユーザ端末の内部に生成される機能ブロックを示すブロック図。図１に示した決済システムに含まれる決済装置のハードウェア構成を示す図。図１に示した決済システムに含まれる決済装置の内部に生成される機能ブロックを示すブロック図。図６に示した与信情報記録部に記録されているデータの例を示す図。図６に示した位置情報記録部に記録されているデータの例を示す図。図６に示したＯＴＰ情報記録部に記録されているデータの例を示す図。図１に示した決済システムに含まれる決済端末のハードウェア構成を示す図。図１に示した決済システムに含まれる決済端末の内部に生成される機能ブロックを示すブロック図。図１に示した決済システムに含まれるユーザ端末のディスプレイに表示される画像の一例を示す図。図１に示した決済システムに含まれるユーザ端末のディスプレイに表示される画像の他の例を示す図。図１に示した決済システムに含まれる決済端末のディスプレイに表示される画像の一例を示す図。図１に示した決済システムで決済が行われるときに実行される処理の流れを示す図。図１に示した決済システムで決済の取消が行われるときにユーザ端末のディスプレイに表示される画像の一例を示す図。第２実施形態の決済システムに含まれるユーザ端末のディスプレイに表示される画像の一例を示す図。第２実施形態の決済システムに含まれるユーザ端末の内部に生成される機能ブロックを示すブロック図。第２実施形態の決済システムに含まれるユーザ端末のディスプレイに表示される画像の一例を示す図。第１実施形態で用いられる金券の一例を示す図。第１実施形態で用いられる金券の他の例を示す図。

　以下、本発明の第１～第２実施形態について説明する。各実施形態、変形例の説明で同じ対象には同一の符号を付すものとし、重複する説明は場合により省略するものとする。
　以下の第１、第２実施形態及びそれらの変形例はいずれも、決済システムに関するものであるが、本願発明による金券は、それら決済システムの中で使用される。もっとも、本願発明による金券がその中で使用される以下の決済システムはいずれも例示的なものであり、他の決済システムの中で使用することも当然に可能である。

≪第１実施形態≫
　図１に、第１実施形態の決済システムの全体構成を概略で示す。
　決済システムは、複数のユーザ端末１００－１～１００－Ｎ（以後、単に、「ユーザ端末１００」と記載する場合もある。）、決済装置２００及び決済端末３００－１～３００－ｎ（以後、単に、「決済端末３００」と記載する場合もある。）を含んで構成されている。これらはすべて、ネットワーク４００に接続可能とされている。
　ネットワーク４００は、これには限られないが、この実施形態ではインターネットである。

　ユーザ端末１００は、本願の背景技術で述べたユーザ端末に相当するものであり、コンピュータを含んでいる。より詳細には、この実施形態におけるユーザ端末１００は、汎用のコンピュータにより構成されている。この実施形態では、各ユーザがユーザ端末１００をそれぞれ１つずつ所有するものとして説明を行うが、一人のユーザが複数のユーザ端末１００を所有しても構わない。クレジットカード又はデビットカードを用いた決済システムで例えるのであれば、１人で複数のクレジットカード又はデビットカードを所有するようなものである。もっとも、一つのユーザ端末１００に、例えば異なる決済装置２００の管理者が配布した異なるコンピュータプログラム（これについては、後述する。）を複数インストールすること等により、ユーザは、１つのユーザ端末１００を所有するだけで、ユーザが、複数の決済装置２００における決済を一つのユーザ端末１００で行えるようにすることも可能である。これは、従来のクレジットカードを用いた決済システムにおいて、ユーザが複数のクレジットカードを所持しているのと同様の状態である。しかしながら、この実施形態における決済システムによればユーザは、物理的に嵩張るクレジットカードを、複数枚所持する必要はない。

　次に、ユーザ端末１００の構成を説明する。各ユーザ端末１００－１～１００－Ｎの構成は、基本的に同じである。
　ユーザ端末１００は、携帯電話、スマートフォン、タブレット、ノート型パソコン、デスクトップ型パソコン等である。可搬であり、且つ後述するプログラムをインストールするのに向いているという点を考慮すれば、これらのうち、特に、スマートフォンかタブレットが、ユーザ端末１００として用いるのに好ましい。スマートフォンは例えば、Ａｐｐｌｅ　Ｊａｐａｎ合同会社が製造、販売を行うｉＰｈｏｎｅ（商標）である。タブレットの例はＡｐｐｌｅ　Ｊａｐａｎ合同会社が製造、販売を行うｉＰａｄ（商標）である。以下、これには限られないが、ユーザ端末がスマートフォンであることとして話を進める。

　ユーザ端末１００の外観の一例を図２に示す。
　ユーザ端末１００は、ディスプレイ１０１を備えている。ディスプレイ１０１は、静止画又は動画を表示するためのものであり、公知、或いは周知のものを用いることができる。ディスプレイ１０１は例えば、液晶ディスプレイである。ユーザ端末１００は、また入力装置１０２を備えている。入力装置１０２は、ユーザが所望の入力をユーザ端末１００に対して行うためのものである。入力装置１０２は、公知或いは周知のものを用いることができる。この実施形態におけるユーザ端末１００の入力装置１０２はボタン式のものとなっているが、これには限られず、テンキー、キーボード、トラックボール、マウスなどを用いることも可能である。また、ディスプレイ１０１がタッチパネルである場合、ディスプレイ１０１は入力装置１０２の機能を兼ねることになり、この実施形態ではそうされている。

　ユーザ端末１００のハードウェア構成を、図３に示す。
　ハードウェアには、ＣＰＵ（central processing unit）１１１、ＲＯＭ（read only memory）１１２、ＲＡＭ（random access memory）１１３、インターフェイス１１４が含まれており、これらはバス１１６によって相互に接続されている。
　ＣＰＵ１１１は、演算を行う演算装置である。ＣＰＵ１１１は、例えば、ＲＯＭ１１２に記録されたコンピュータプログラムを実行することにより、後述する処理を実行する。なお、ここでいうコンピュータプログラムには、ユーザ端末としてこのユーザ端末１００を機能させるためのコンピュータプログラムが少なくとも含まれる。このコンピュータプログラムは、ユーザ端末１００にプリインストールされていたものであっても良いし、事後的にインストールされたものであっても良い。このコンピュータプログラムのユーザ端末１００へのインストールは、メモリカード等の所定の記録媒体を介して行なわれても良いし、ＬＡＮ或いはインターネットなどのネットワークを介して行なわれても構わない。
　ＲＯＭ１１２は、ＣＰＵ１１１が後述する処理を実行するために必要なコンピュータプログラムやデータを記録している。ＲＯＭ１１２に記録されたコンピュータプログラムは、これに限られず、ユーザ端末１００がスマートフォンであれば、ユーザ端末をスマートフォンとして機能させるために必要な、例えば、通話や電子メールを実行するためのコンピュータプログラムやデータが記録されている。ユーザ端末１００は、また、ネットワーク４００を介して受取ったデータに基づいて、ホームページを閲覧することも可能とされており、それを可能とするための公知のｗｅｂブラウザを実装している。
　ＲＡＭ１１３は、ＣＰＵ１１１が処理を行うために必要なワーク領域を提供する。
　インターフェイス１１４は、バス１１６で接続されたＣＰＵ１１１やＲＡＭ１１３等と外部との間でデータのやり取りを行うものである。インターフェイス１１４には、上述のディスプレイ１０１と、入力装置１０２とが接続されている。入力装置１０２から入力された操作内容は、インターフェイス１１４からバス１１６に入力されるようになっているとともに、後述する画像データは、インターフェイス１１４から、ディスプレイ１０１に出力されるようになっている。インターフェイス１１４は、また、いずれも図示を省略する、ＧＰＳ機構と、送受信部とに接続されている。
　ＧＰＳ機構は、地球上におけるユーザ端末１００が存在する位置を検出するものである。ＧＰＳ機構は、検出したユーザ端末１００の位置を特定する位置情報を生成するようになっている。ＧＰＳ機構は、公知又は周知のものであり、例えば静止衛星からの電波を受取ることにより、ユーザ端末１００の位置を検出するようになっている。位置情報は、インターフェイス１１４により受取られるようになっている。
　送受信部は、インターネットであるネットワーク４００を介してのデータの送受信を行うものである。かかる通信は、有線で行われる場合もあるが、ユーザ端末１００がスマートフォンである場合には、かかる通信は無線で行われる。それが可能な限り、送受信部の構成は、公知或いは周知のものとすることができる。送受信部がネットワーク４００から受取ったデータは、インターフェイス１１４により受取られるようになっており、インターフェイス１１４から送受信部にわたされたデータは、送受信部によって、ネットワーク４００を介して外部、例えば、決済装置２００に送られるようになっている。

　ＣＰＵ１１１がコンピュータプログラムを実行することにより、ユーザ端末１００内部には、図４で示されたような機能ブロックが生成される。なお、以下の機能ブロックは、ユーザ端末１００を以下の処理を実行するユーザ端末として機能させるための上述のコンピュータプログラム単体の機能により生成されていても良いが、上述のコンピュータプログラムと、ユーザ端末１００にインストールされたＯＳその他のコンピュータプログラムとの協働により生成されても良い。
　ユーザ端末１００内には、以下のような制御部１２０が生成され、制御部１２０内に、主制御部１２１、表示制御部１２２、データ入出力部１２３、ＯＴＰ生成部１２４が生成される。

　制御部１２０は、以下に説明するような情報処理を実行する。
　主制御部１２１は、制御部１２０内の全体的な制御を行う。例えば、主制御部１２１は、追って詳述するデータ入出力部１２３から受取ったデータに基づいて表示制御部１２２の制御を行う。
　主制御部１２１は、追って説明するデータ入出力部１２３から、これも追って説明する仮許可情報を受取った場合に、その旨をＯＴＰ生成部１２４に通知するようになっている。主制御部１２１は、また、データ入出力部１２３から、後述するユーザＩＤとパスワードと金額情報とを受取るようになっている。主制御部１２１は、また、データ入出力部１２３から、後述するユーザ端末取消情報を受取る場合がある。また、主制御部１２１は、図示を省略のメモリ等からなる記録手段を内蔵しており、そこに、端末情報を記録している。端末情報の例としては、ユーザ端末１００がスマートフォンである場合における当該スマートフォンに組込まれたＳＩＭカード（Subscriber Identity Module Card）に記録されたＩＤ番号や、スマートフォンの製造番号等の個体識別番号を挙げることができる。主制御部１２１は、これら端末情報のうちの少なくとも一つを、ユーザ端末１００から予め取得しておく。なお、主制御部１２１は、端末情報を、ユーザが支払いの処理を行う都度、ユーザ端末１００から取得するようになっていても構わない。いずれにせよ、主制御部１２１は、後述するタイミングで、ユーザＩＤとパスワードと金額情報とそして端末情報とを、データ入出力部１２３に送るようになっている。
　主制御部１２１は、また、ＯＴＰ生成部１２４から、ワンタイムパスワードを受取るようになっている。
　表示制御部１２２は、主制御部１２１の制御を受けつつ、ディスプレイ１０１に表示される画像の制御を行う。ディスプレイ１０１には、表示制御部１２２から送られたデータに基づく画像が表示される。主制御部１２１は、表示制御部１２２に対して、ディスプレイ１０１にどのような画像を表示させるべきかという指示を送る。

　データ入出力部１２３は、制御部１２０へのデータの入出力を行うものである。具体的には、データ入出力部１２３は、入力装置１０２からの入力を受取るようになっている。入力装置１０２からデータ入出力部１２３へ入力されるのは、例えば、決済の開始の指示、ユーザＩＤ、パスワード、金額情報、ユーザＩＤとパスワードと金額情報との送信の指示、ユーザ端末取消情報である。これらはいずれも主制御部１２１に送られるようになっている。
　また、データ入出力部１２３は、送受信部から、追って説明する、決済装置２００からネットワーク４００を介して送られて来た仮許可情報を受取るようになっている。データ入出力部１２３は、受取った仮許可情報を、主制御部１２１に送るようになっている。
　また、データ入出力部１２３は、ＧＰＳ機構から、位置情報を受取るようになっている。データ入出力部１２３は、受取った位置情報を主制御部１２１に送るようになっている。
　また、データ入出力部１２３は主制御部１２１から、ユーザＩＤ、パスワード、端末情報、及び金額情報を受取るようになっている。ユーザＩＤは、ユーザを特定するための各ユーザにユニークな情報であり、これには限られないがこの実施形態では、後述するように所定の文字数の英数字の羅列とされている。パスワードは、ユーザの認証をより確実にするための情報であり、これには限られないがこの実施形態では、後述するように所定の文字数の英数字の羅列とされている。端末情報は、ユーザ端末１００を特定するための情報であり、これもユーザの認証をより確実にすることを目的とする。これには限られないがこの実施形態における端末情報は、後述するように所定の文字数の数字の羅列とされている。金額情報は、ユーザが、決済端末３００の管理者に支払いを行おうとする金額を特定するための情報であり、所定の単位（円、ドル、ユーロ等）の金額を表す数字である。データ入出力部１２３には、また、主制御部１２１から、位置情報と、ワンタイムパスワードとが送られるようになっている。なお、位置情報は、データ入出力部１２３から主制御部１２１を経てデータ入出力部１２３に戻されるのではなく、ＧＰＳ機構からデータ入出力部１２３に入力された状態のまま、データ入出力部１２３にて保持されていても構わない。また、ワンタイムパスワードは、主制御部１２１を経ずに、ＯＴＰ生成部１２４から直接データ入出力部１２３に送られるようになっていても構わない。ユーザ端末取消情報は、後述するようにして既に終了した過去の決済の一つを取消すためのユーザの意思表示を示す情報であり、入力装置１０２を用いてユーザが入力するものである。ユーザ端末取消情報には、ユーザが取消を望む過去の決済の一つを特定する情報が少なくとも含まれている。
　ユーザＩＤ、パスワード、端末情報、金額情報、位置情報、ワンタイムパスワード、ユーザ端末取消情報等は、それぞれについて適切な後述するタイミングで、データ入出力部１２３から、送受信部に送られるようになっており、これらのうちワンタイムパスワードを除いたものは、送受信部からネットワーク４００を介して、決済装置２００に送られるようになっている。

　ＯＴＰ生成部１２４は、上述したように、主制御部１２１が仮許可情報を受取った場合、主制御部１２１からその旨を通知されるようになっている。その通知を受けた場合に、ＯＴＰ生成部１２４はワンタイムパスワードを生成するようになっている。ワンタイムパスワードの生成の仕方は従来技術に倣うことができる。ワンタイムパスワードの生成の仕方の具体例については、後述する。
　ワンタイムパスワードは、数字、文字、記号或いはそれらの羅列からなり、本願発明における金銭情報の一例となるものである。

　次に、決済装置２００について説明する。
　決済装置２００は一般的なコンピュータである。ハードウェア構成としては、従来の決済システムにおける決済装置と同等のもので良い。

　決済装置２００のハードウェア構成の一例を、図５に示す。
　ハードウェアには、ＣＰＵ２１１、ＲＯＭ２１２、ＲＡＭ２１３、インターフェイス２１４が含まれており、これらはバス２１６によって相互に接続されている。
　ＣＰＵ２１１は、演算を行う演算装置である。ＣＰＵ２１１は、例えば、ＲＯＭ２１２に記録されたコンピュータプログラムを実行することにより、後述する処理を実行する。なお、ここでいうコンピュータプログラムには、以下の処理を実行する決済装置としてこの決済装置２００を機能させるためのコンピュータプログラムが少なくとも含まれる。このコンピュータプログラムは、決済装置２００にプリインストールされていたものであっても良いし、事後的にインストールされたものであっても良い。このコンピュータプログラムの決済装置２００へのインストールは、メモリカード等の所定の記録媒体を介して行なわれても良いし、ＬＡＮ或いはインターネットなどのネットワークを介して行なわれても構わない。
　ＲＯＭ２１２は、ＣＰＵ２１１が後述する処理を実行するために必要なコンピュータプログラムやデータを記録している。ＲＯＭ２１２に記録されたコンピュータプログラムは、これに限られず、他の必要なコンピュータプログラムが記録されていても良い。
　ＲＡＭ２１３は、ＣＰＵ２１１が処理を行うために必要なワーク領域を提供する。
　ＲＯＭ２１２、ＲＡＭ２１３に加えて、その他の記録媒体、例えば、ＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）を設けて、それらにＲＯＭ２１２、ＲＡＭ２１３の機能の一部を賄わせることができるのは当然である。
　インターフェイス２１４は、バス２１６で接続されたＣＰＵ２１１やＲＡＭ２１３等と外部との間でデータのやり取りを行うものである。インターフェイス２１４は、少なくとも送受信部に接続されている。送受信部がネットワーク４００から受取ったデータは、インターフェイス２１４により受取られるようになっており、インターフェイス２１４から送受信部にわたされたデータは、送受信部によって、ネットワーク４００を介して外部、例えば、ユーザ端末１００に送られるようになっている。

　ＣＰＵ２１１がコンピュータプログラムを実行することにより、決済装置２００内部には、図６で示されたような機能ブロックが生成される。なお、以下の機能ブロックは、決済装置２００を以下の処理を実行する決済装置として機能させるための上述のコンピュータプログラム単体の機能により生成されていても良いが、上述のコンピュータプログラムと、決済装置２００にインストールされたＯＳその他のコンピュータプログラムとの協働により生成されても良い。
　決済装置２００内には、以下のような制御部２２０が生成される。制御部２２０内には、データ入出力部２２１、主制御部２２２、与信判定部２２３、与信情報記録部２２４、最終判定部２２５、位置情報記録部２２６、ＯＴＰ生成部２２７、ＯＴＰ情報記録部２２８が生成される。

　データ入出力部２２１は、制御部２２０へのデータの入出力を行うものである。具体的には、データ入出力部２２１は、主制御部２２２から後述する種々のデータを受付けるようになっている。主制御部２２２から受付けた種々のデータを、データ入出力部２２１は、送受信部に渡すようになっており、送受信部はそれらデータを、ネットワーク４００を介してユーザ端末１００又は決済端末３００に送るようになっている。
　データ入出力部２２１は、また、ネットワーク４００を介してユーザ端末１００又は決済端末３００から送受信部が受取った後述する種々のデータを送受信部から受取り、受取ったそれらデータを主制御部２２２に送るようになっている。

　主制御部２２２は、制御部２２０内の全体的な制御を行う。
　主制御部２２２は、データ入出力部２２１から、ユーザＩＤとパスワードと端末情報とそして金額情報とを受取る場合がある。主制御部２２２がそれらを受取った場合、主制御部２２２は、それらを与信判定部２２３へと送るようになっている。
　主制御部２２２は、データ入出力部２２１から、ユーザ端末１００から送られてきた位置情報を受取る場合がある。主制御部２２２は、この位置情報を受取った場合には、それを最終判定部２２５に送るようになっている。
　主制御部２２２は、また、与信判定部２２３から、後述する仮許可情報を受取る場合がある。主制御部２２２がそれを受取った場合、主制御部２２２は、それをデータ入出力部２２１へと送るようになっている。主制御部２２２は、また、データ入出力部２２１から、それらのいずれもが決済端末３００から送られてきたものである、共に後述する決済申込情報と、ワンタイムパスワードと、ユーザＩＤとを受取る場合がある。主制御部２２２がそれらを受取った場合、主制御部２２２は、それらを最終判定部２２５へと送るとともに、ワンタイムパスワードを生成せよとの指示をＯＴＰ生成部２２７へと送るようになっている。
　主制御部２２２は、また、ＯＴＰ生成部２２７からワンタイムパスワードを受取る場合がある。主制御部２２２がそれを受取った場合、主制御部２２２は、それを最終判定部２２５へと送るようになっている。なお、ワンタイムパスワードは、必ずしも主制御部２２２を介して最終判定部２２５へと送られる必要はなく、例えばＯＴＰ生成部２２７から直接最終判定部２２５へと送られるようになっていても構わない。
　主制御部２２２は、また、最終判定部２２５から、後述する最終判定データを受取る場合がある。主制御部２２２は、それを受取った場合、決済処理を行うようになっている。決済処理は、あるユーザから、そのユーザへの支払いを求めるための仮許可情報を送信してきた決済端末３００の管理者への決済を認めるための処理である。主制御部２２２は、どのような決済を行ったかというデータを保持するようになっている。例えば、主制御部２２２は、誰から誰への幾らの支払いを最終的に許可したのかという情報を、各ユーザ毎に図示せぬ記録媒体に記録するようになっている。また、決済の処理の一環として主制御部２２２は、与信情報記録部２２４の内容を書換えるが、これについては後述する。
　主制御部２２２は、データ入出力部２２１から、ユーザ端末取消情報と、後述する決済端末取消情報とを受取る場合がある。主制御部２２２がそれらを受取った場合であって、且つそれらユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一の場合には、主制御部２２２は当該過去の決済を取消すための処理を行うようになっている。もっとも、かかる決済の取消の処理は、必ずしも必須のものではなく、決済の取消の処理が不要なのであれば、ユーザ端末１００、決済装置２００、決済端末３００からかかる処理にのみ必要な機能を削除することも可能である。なお、この実施形態においては、主制御部２２２は、ユーザ端末取消情報と、後述する決済端末取消情報との双方を受取り、且つそれらユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一の場合にのみ過去の決済を取消すこととしていたが、これに代えて、主制御部２２２は、ユーザ端末取消情報と決済端末取消情報のいずれか一方のみを受付けたときに、そのユーザ端末取消情報又は決済端末取消情報で特定される過去の決済を取消すようになっていても構わない。また、主制御部２２２は、過去の決済のうち、比較的新しいものについてのみ決済の取消を行うようになっていても良い。例えば、主制御部２２２は、上述の決済の処理が終了してから１０分以内のものに限り、決済の取消を認めるようになっていても良い。

　与信判定部２２３は、上述したように、主制御部２２２からユーザＩＤとパスワードとそして端末情報とを受取るようになっている。与信判定部２２３は、それらを受取った場合、与信判定を行うようになっている。与信判定は、ユーザＩＤとパスワードとそして端末情報で特定されるユーザについての、上記金額情報で特定される金額の支払いの決済が可能か否かの判定である。かかる与信判定には、ユーザが正当なものであるか否かのいわゆる認証の処理も含まれる。
　与信判定部２２３は、与信情報記録部２２４に記録されているデータを、認証の処理を含む与信判定のために利用する。

　与信情報記録部２２４には、図７に示したようなデータが記録されている。
　これには限られないが、この実施形態で与信情報記録部２２４に記録されているのは、ユーザＩＤ、パスワード、端末情報、及び預金残高である。これらは、各ユーザ毎に紐付けられている。なお、これらに加えて、ユーザそれぞれの本名や、電話番号、電子メールアドレス等が記録されていても構わないのは当然である。
　ユーザＩＤは、各ユーザを特定するための情報である。これには限られないが、この実施形態におけるユーザＩＤは、所定の文字数の英数字の羅列となっている。ユーザＩＤは、各ユーザが決定するか、さもなくば決済装置２００の管理者が決定する。ユーザＩＤがユーザにより決定される場合には、公知又は周知の方法によって、ユーザＩＤはユーザから決済装置２００の管理者に通知され、通知されたユーザＩＤが与信情報記録部２２４に記録される。
　パスワードは、各ユーザの正当性を確認するための情報である。これには限られないが、この実施形態におけるパスワードは、所定の文字数の英数字の羅列となっている。パスワードは、各ユーザが決定する。パスワードは、公知又は周知の方法によって、ユーザから決済装置２００の管理者に通知され、通知されたパスワードが与信情報記録部２２４に記録される。
　端末情報は、各ユーザの正当性を更に強固に確認するための情報である。その具体例がＳＩＭカードに記録されたＩＤ番号や、スマートフォンの製造番号等であることは、既に述べた通りである。端末情報は、ユーザ端末１００毎にユニークに決定されている。端末情報は、公知又は周知の方法によって、例えばユーザから、決済装置２００の管理者に通知され、通知された端末情報が与信情報記録部２２４に記録される。
　預金残高は、各ユーザの預金の額であり、各ユーザの口座に入っている金銭の金額を示すものである。預金残高は、それを特定する預金残高情報として、与信情報記録部２２４に記録されている。預金残高は、ユーザが決済装置２００の管理者に対して予め幾らかの金銭を支払っている場合、における決済装置２００の管理者が管理するユーザの口座に入っている金銭の金額である場合がある。このような場合、この決済システムは、いわゆるプリペイド方式による決済システムとなる。或いは、預金残高は、決済装置２００の管理者が預金の管理を事業として行っている銀行等である場合、或いは決済装置２００の管理者が銀行等と提携している場合における、当該銀行にユーザが持つ口座に入っている金銭の金額である場合がある。この実施形態では、どちらの場合も、あり得る。

　与信判定部２２３は、主制御部２２２からユーザＩＤとパスワードと端末情報とそして金額情報とを受取ると、受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び預金残高を、与信情報記録部２２４から読み出す。与信判定部２２３が受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に存在しない場合には、パスワード等の情報を与信判定部２２３は、与信情報記録部２２４から読み出さない。この場合には、与信判定部２２３は、与信判定の処理を中止する。
　与信判定部２２３が主制御部２２２から受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に記録されており、受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び預金残高が与信情報記録部２２４から読み出された場合には、与信判定部２２３は、主制御部２２２から受取ったパスワード及び端末情報が、与信情報記録部２２４から読み出されたパスワード及び端末情報と同じか否か判定するようになっている。それらが共に一致したのであれば、与信判定部２２３は、そのユーザＩＤ等を送って来たユーザが正当なユーザであると認証し、パスワード及び端末情報の少なくとも一方が一致しなかったのであれば、そのユーザＩＤ等を送って来たユーザが正当なユーザでないと判定して、与信判定の処理を中止する。ここまでが、認証の処理である。つまり、この実施形態の与信判定における認証の処理でユーザが正当であると認められるには、ユーザが送ってきたユーザＩＤとパスワードと端末情報とのすべてが、与信情報記録部２２４に記録されていたそれらと完全に一致することが条件とされる。認証の処理で、そのパスワードを送って来たユーザが正当なユーザであると認証された場合には、与信判定部２２３は、ユーザの求める決済を認めて良いか否かについての与信の判定を行う。
　与信の判定は、ユーザ端末１００から送信されてきた金額情報と、その金額情報と紐付けられていたユーザＩＤと紐付けられていた、上記与信情報記録部２２４から読み出された預金残高とを比較することにより行われる。これには限られないが、この実施形態では、預金残高の方が、金額情報で特定される金額と同じかそれよりも大きい場合に、ユーザの求める決済が認められる。その場合には、与信判定部２２３は、仮許可情報を生成する。他方、預金残高が、金額情報で特定される金額よりも小さい場合には、ユーザの求める決済は認められない。この場合には、与信判定部２２３は仮許可情報を生成しない。与信判定部２２３が仮許可情報を生成した場合には、その仮許可情報は主制御部２２２に送られるようになっている。
　また、与信判定部２２３は時刻を特定する機能を有しており（通常のコンピュータが有する時計の機能を利用しても良い。）、与信判定を行った時刻を特定するための時刻情報を主制御部２２２に通知するようになっている。かかる時刻情報は、主制御部２２２から最終判定部２２５に送られるようになっている。

　最終判定部２２５は、上述したように、主制御部２２２から、ユーザ端末１００から送られてきた位置情報を受取る場合がある。主制御部２２２は、また、データ入出力部２２１から、それらのいずれもが決済端末３００から送られてきたものである、決済申込情報と、ユーザＩＤと、ワンタイムパスワードとを受取る場合がある。これには限られないがこの実施形態では、決済申込情報と、ユーザＩＤと、ワンタイムパスワードは、決済端末３００から決済装置２００にまとめて送られ、それら３つの情報は、最終判定部２２５にまとめて受取られる。最終判定部２２５は、決済申込情報、ユーザＩＤ、及びワンタイムパスワードを受取った場合に、最終判定の処理を行う機能を有する。最終判定は、ユーザが希望した、決済端末３００の管理者への支払いを最終的に認めるか否かについての判定である。
　最終判定部２２５は、位置情報記録部２２６に記録されている情報を、最終判定を行うために利用する。また、ＯＴＰ生成部２２７から主制御部２２２を経て提供されるワンタイムパスワードも、最終判定に利用する。

　位置情報記録部２２６には、図８に示したように、決済端末ＩＤと、位置情報とが互いに紐付けた状態で記録されている。
　決済端末ＩＤは、各決済端末３００を区別し、特定するためのものである。この実施形態における決済端末３００はｎ個であるので、もちろんこれには限られないが、この実施形態では、自然数である１～ｎの連番を、各決済端末３００を特定するための決済端末ＩＤとして用いることとしている。
　位置情報は、それと紐付けられた決済端末３００が存在する位置を特定するための情報である。この実施形態における位置情報は、緯度と経度とで、決済端末３００の位置を特定することとしている。図８において、「Ｎ」又は「Ｓ」の文字が付された左側に位置する数字は、前者が北緯、後者が南緯である緯度を、「Ｅ」又は「Ｗ」の文字が付された右側に位置する数字は、前者が東経、後者が西経である経度を、それぞれ特定するものとなっている。もっとも、位置情報の形式は、緯度と経度の組合せに限らない。なお、ユーザ端末１００のＧＰＳ機構で生成される位置情報も、この実施形態では同様の形式となっている。
　なお、図８において、決済端末ＩＤが４のものには、位置情報が設定されていない。例えば、決済端末３００がインターネット上の仮想店舗の決済に用いられるものである場合には、後述する理由で、決済端末３００の位置を特定することにあまり意味が無い。そのような決済端末３００については位置情報の設定がなされないこともあり得る。
　位置情報は、例えば、決済端末３００の管理者が、決済端末３００を設置する際に決済装置２００の管理者に、電子メールや書簡等の適当な手段で通知することにより決済装置２００の管理者に知らせることが可能である。決済装置２００の管理者は、通知された位置情報を各決済端末３００の決済端末ＩＤに紐づけて位置情報記録部２２６に記録すれば良い。
　上述した決済申込情報には、その決済申込情報を送信した決済端末３００の決済端末ＩＤが付されている。最終判定部２２５は、決済申込情報とワンタイムパスワードとを受取ったときに、その決済申込情報に付された決済端末ＩＤと一致する決済端末ＩＤに紐付けられた位置情報を、位置情報記録部２２６から読み出すようになっている。

　ＯＴＰ生成部２２７は、ワンタイムパスワードを生成する機能を有している。
　上述したように、主制御部２２２は、データ入出力部２２１から、決済申込情報と、ワンタイムパスワードとを受取ると、ワンタイムパスワードを生成せよとの指示をＯＴＰ生成部２２７へと送る。この指示を受取るとＯＴＰ生成部２２７は、ワンタイムパスワードを生成する。なお、この実施形態では、決済装置２００でワンタイムパスワードが生成されるタイミングは、決済申込情報と、ユーザ端末１００で生成されたワンタイムパスワードとを決済装置２００が受取った後であるが、これはこの限りではない。決済装置２００は例えば、仮許可情報が生成されると同時かそれ以降であって、最終判定部２２５が最終判定を行うよりは前の適当なタイミングで、ＯＴＰ生成部２２７にワンタイムパスワードを作らせるようになっていれば良い。
　ワンタイムパスワードの生成の仕方は従来技術に倣えばよいが、その具体例は、例えば以下の通りである。
　ワンタイムパスワードを生成するには、ある初期値（２つ以上の場合もある）を用い、過去の値を所定の関数に代入することにより、新しい値を順次作るという方法をワンタイムパスワードが必要となる度に実行すれば良い。そうすることにより、上記「値」であるワンタイムパスワードを連続して生成することができる。このようなワンタイムパスワードは、初期値依存性のある擬似乱数となる。
　上述の「値」を作るのに使われる関数の例として、以下の（ａ）～（ｃ）を挙げる。以下の（ａ）～（ｃ）はいずれも、Ｎ番目の「値」であるＸ_Ｎを作るための式である。また、Ｐ、Ｑ、Ｒ、Ｓは自然数である。
（ａ）（Ｘ_Ｎ）＝（Ｘ_Ｎ－１）^Ｐ＋（Ｘ_Ｎ－２）^Ｑ
（ｂ）（Ｘ_Ｎ）＝（Ｘ_Ｎ－１）^Ｐ
（ｃ）（Ｘ_Ｎ）＝（Ｘ_Ｎ－１）^Ｐ（Ｘ_Ｎ－２）^Ｑ（Ｘ_Ｎ-3）^R（Ｘ_Ｎ－4）^S
　（ａ）は、過去の「値」２つを用い、それらをそれぞれＰ乗とＱ乗したものを足し合わせることにより、新しい「値」を生成する。なお、正確には、過去の「値」２つを用い、それらをＰ乗とＱ乗したものを足し合わせると、桁数が増えるため、実際には得られた値のうちの頭から適当な桁数を抜き出す、末尾から適当な桁数を抜き出す、或いはその値のうちの適当な部分から適当な桁数を抜き出すこと等により、新しい「値」を生成する。
　（ｂ）は、過去の「値」１つを用い、それをＰ乗したものの桁数を上述のように整理したものを新しい「値」とするものである。
　（ｃ）は、過去の「値」４つを用い、それらをそれぞれＰ乗、Ｑ乗、Ｒ乗、Ｓ乗したものの積を取り、その後上述したように桁数を整理したものを新しい「値」とするものである。
　上述の（ａ）～（ｃ）はワンタイムパスワードを生成するためのアルゴリズムの一例であり、ワンタイムパスワードを生成する際にアルゴリズムに変化を加える、例えば、上述の（ａ）～（ｃ）を順番に用いる等の変化を加えることも可能である。
　ＯＴＰ生成部２２７は、ワンタイムパスワードを生成するにあたって、ＯＴＰ情報記録部２２８に記録されているデータを利用する。ＯＴＰ情報記録部２２８には、例えば、図９に記載したようなデータが記録されている。ＯＴＰ情報記録部２２８に記録されているのは、ユーザＩＤ、初期値、生成回数である。これらのうち、必須のものは初期値のみである。
　ＯＴＰ情報記録部２２８に記録されているユーザＩＤは、与信情報記録部２２４に記録されているユーザＩＤと同じものであり、各ユーザを特定するためのものである。
　初期値は、ワンタイムパスワードを生成する場合に用いられる初期値である。
　初期値は、各ユーザ端末１００毎に異なるものとなっている。各ユーザ端末１００のＯＴＰ生成部１２４で生成されるワンタイムパスワードと同じワンタイムパスワードを、決済装置２００のＯＴＰ生成部２２７で生成できるようにするため、各ユーザ端末１００に与えられた初期値と同じ初期値が、ＯＴＰ情報記録部２２８に記録されている。上述したように、ワンタイムパスワードは初期値依存性のある擬似乱数となる。言い換えれば、あるユーザ端末１００用のワンタイムパスワードは、同じ順番のもの同士を比較すれば、常に同じものとなるようになっている。したがって、各ユーザ端末１００に持たせた初期値と同じワンタイムパスワードを決済装置２００において準備しておけば、決済装置２００は、どのユーザ端末１００におけるワンタイムパスワードをも再現できることになる。この実施形態では、ＯＴＰ情報記録部２２８に記録されている初期値は、各ユーザ端末１００について２つである。これは、これには限られないがこの実施形態では、過去の２つの「値」を利用して新しい「値」を生成する、上述した（ａ）の数式を用いてワンタイムパスワードを生成するからである。ＯＴＰ情報記録部２２８には、新しい「値」を生成するのに必要なだけの過去の値、即ちワンタイムパスワードを記録しておけば足りる。
　生成回数は、そのユーザ端末１００用のワンタイムパスワードを何回生成したかを示す数値である。上述したように、ワンタイムパスワードは乱数ではあるが、擬似乱数である。生成回数０回のときは、初期値を用いて１番目に生成されるワンタイムパスワードが後述する最終判定に用いられ、生成回数が１回のときは、上述の初期値を用いて２番目に生成されるワンタイムパスワードが最終判定に用いられ、生成回数がＮ回のときは、上述の初期値を用いてＮ－１番目に生成されるワンタイムパスワードが最終判定に用いられるようになっている。
　ＯＴＰ生成部２２７は、主制御部２２２から、ワンタイムパスワードを生成せよとの指示を受けると、ワンタイムパスワードとともに受取ったユーザＩＤと紐付けられている初期値と、生成回数とを、ＯＴＰ情報記録部２２８から読み出す。ＯＴＰ生成部２２７は、上述した数式（ａ）に初期値を代入して、読み出した生成回数がＮのときに、Ｎ－１番目までの値を生成する。それが、最終判定に使用されるワンタイムパスワードとなる。
　なお、ユーザ端末１００のＯＴＰ生成部１２４でも、同様の方法でワンタイムパスワードが生成される。上述したようにユーザ端末１００のＯＴＰ生成部１２４は、決済装置２００のＯＴＰ情報記録部２２８に記録されたのと同じ初期値を持っており、また決済装置２００のＯＴＰ生成部２２７で使用されるのと同じ数式（この実施形態の場合であれば、数式（ａ））を使用できるようになっており、且つＯＴＰ情報記録部２２８に記録されるのと同じように、過去に何回「値」を生成したかということを特定する生成回数の記録を行えるようになっている。それにより、ユーザ端末１００と決済装置２００とで生成されるワンタイムパスワードは、常に同期させることができる。
　このように、ワンタイムパスワードを生成する２つの装置で同じワンタイムパスワードを生成する、或いはワンタイムパスワードを同期させるために、２つの装置で同じ順番で生成されたワンタイムパスワードを用いる方法を一般に、イベント同期と呼ぶ。上述の方法は、イベント同期を用いたワンタイムパスワードの手法を採用したものである。他方、ワンタイムパスワードを同期させるために、時刻の情報を用いることもできる。このようなワンタイムパスワードの同期方法を一般に、時刻同期と呼ぶ。イベント同期も、時刻同期も公知の技術であり、いずれかを用いることにより、ワンタイムパスワードを同期させることも可能である。
　いずれにせよ、ＯＴＰ生成部２２７は、生成したワンタイムパスワードを、主制御部２２２を介して、最終判定部２２５に送る。また、ＯＴＰ生成部２２７は、ＯＴＰ情報記録部２２８に記録されていた、そのユーザ端末１００用のワンタイムパスワードが作られたユーザ端末１００のユーザＩＤと紐付けられていた、生成回数を＋１するように書き換える。

　なお、ＯＴＰ情報記録部２２８に記録されるべき情報のうち、必須なのは初期値のみであると上述した。その場合、ユーザ端末１００で生成されるワンタイムパスワードと、決済装置２００で生成されるワンタイムパスワードとは以下のようにして同期される。
　まず、生成回数の情報がない場合である。この場合、決済装置２００のＯＴＰ生成部２２７は、新しい「値」を生成するたびに、古いものから「値」を消去して、それを一つ新しい「値」で上書きするという処理を繰り返す。同様の処理をユーザ端末１００でも繰り返すことにより、過去何回「値」を生成したかという生成回数の情報を用いずとも、ユーザ端末１００で生成されるワンタイムパスワードと、決済装置２００で生成されるワンタイムパスワードとを同期させることが可能となる。
　次にユーザＩＤがない場合である。ユーザＩＤが存在しない場合には、ユーザＩＤの代わりとなる、ユーザを特定するための情報でユーザを特定する。ユーザを特定するための情報が原則として必要となるのは、決済装置２００がワンタイムパスワードを生成するための条件はユーザ毎に異なるため（例えば、この実施形態ではユーザ毎に割当てられた初期値が異なるが、用いる数式つまりアルゴリズムをユーザ毎に変えることも可能である。）、決済装置２００においてユーザ毎に異なる条件のうちのどの条件でワンタイムパスワードを生成させるかを確定するために、ユーザを特定するための情報が必要となる。例えば、ユーザは、ユーザＩＤでなく、後述する決済端末３００が備えるタッチパネル式のディスプレイに対して署名を行うことにより、決済端末３００からその署名を電子データとして、決済装置２００に送信することが可能である。或いは、ユーザの指紋や静脈の性状等の生体情報を取込む読取り装置を決済端末３００に設けることにより、読取り装置で読取った指紋や静脈の性状等を電子データとして、決済装置２００に送信することが可能である。これらの場合、ＯＴＰ情報記録部２２８には、ユーザＩＤの代わりに、或いはそれに加えて、署名、指紋や静脈の性状等が記録されることになる。

　最終判定部２２５は、上述したように、主制御部２２２から、決済申込情報及びワンタイムパスワードを受取る。また、その前に、最終判定部２２５は、主制御部２２２から、ユーザ端末１００から送られてきた位置情報と、与信判定部２２３で生成された時刻情報とを受取っている。
　他方、最終判定部２２５は、位置情報記録部２２６から、決済申込情報を決済装置２００に送って来た決済端末３００の位置を示す位置情報を受取るとともに、ＯＴＰ生成部２２７から、ワンタイムパスワードを受取る。
　最終判定部２２５は、主制御部２２２を介して受取った決済端末３００からのワンタイムパスワードと、これも主制御部２２２を介して受取ったＯＴＰ生成部２２７からのワンタイムパスワードとを比較するとともに、主制御部２２２を介して受取ったユーザ端末１００の位置を示す位置情報と、位置情報記録部２２６から受取った位置情報とを比較する。その結果、比較した上記２つのワンタイムパスワードが一致する、比較した２つの上記位置情報により特定される位置が、所定の距離、例えば２０ｍ以内の場合である、そしてこの比較が行われた時刻が与信判定部２２３から主制御部２２２を介して受付けた時刻情報で特定される時刻から所定の時間、例えば５分、３０分、或いは５時間、更には数日、数ヶ月以内である、という３つの条件がすべて満たされたときのみ、最終判定部２２５は、ユーザ端末１００のユーザからの決済端末３００の管理者への支払いを認める決定を最終的に行う。最終判定部２２５は、３つの条件のいずれかが充足されない場合には、上記支払を認めないとの決定を最終的に行う。これら両決定を、最終判定と称する。
　最終判定部２２５が最終判定を行った場合、最終判定部２２５は、主制御部２２２に、最終判定の結果を示すデータである最終判定データを送る。これを受取った主制御部２２２は、最終判定で支払いが認められた場合には、当該最終判定をなすために使用されたワンタイムパスワードを生成したユーザ端末１００のユーザから、そのワンタイムパスワードの生成のきっかけとなった金額情報で特定される金額の金銭の、最終判定をなすために使用されたワンタイムパスワードを送って来た決済端末３００の管理者への支払いを認めるための処理を行う。この処理の結果は、例えば、主制御部２２２に内蔵された、図示を省略の記録媒体に記録され、その支払の処理を実現するために必要であれば、関係する金融機関等へと通知されるようになっている。また、主制御部２２２は、最終判定で支払いが認められなかった場合には、上述の処理を行わない。他方、主制御部２２２は、最終判定データに基づく内容を、データ入出力部２２１に送り、送受信部及びネットワーク４００を介して、その最終判定の基礎となる決済申込情報を送信してきた決済端末３００に送るようになっている。

　次に、決済端末３００について説明する。
　決済端末３００は、クレジットカードを用いた決済システムで用いられていた決済端末と略同じものであり、一般的なコンピュータである。ハードウェア構成としては、従来の決済システムにおける決済端末と同等のもので良く、この実施形態ではユーザ端末１００と同等のものとされている。
　なお、決済端末３００は、図示を省略のタッチパネル式のディスプレイを備えている。結果として、決済端末３００は、ディスプレイと、入力装置を備えることになる。もっとも、これに代えて、決済端末３００は、タッチパネル式でないディスプレイと、テンキー、キーボード、マウス、トラックボール等の公知又は周知の入力装置のうちから必要なものを選択してなる入力装置とを、ディスプレイと入力装置とを別個のものとして備えていても良いが、この実施形態の決済システムはタッチパネル式のキーボードを備えるものとして以下、話を進める。

　決済端末３００のハードウェア構成を、図１０に示す。
　ハードウェアには、ＣＰＵ３１１、ＲＯＭ３１２、ＲＡＭ３１３、インターフェイス３１４が含まれており、これらはバス３１６によって相互に接続されている。
　ＣＰＵ３１１は、演算を行う演算装置である。ＣＰＵ３１１は、例えば、ＲＯＭ３１２に記録されたコンピュータプログラムを実行することにより、後述する処理を実行する。このコンピュータプログラムは、決済端末３００にプリインストールされていたものであっても良いし、事後的にインストールされたものであっても良い。このコンピュータプログラムの決済端末３００へのインストールは、メモリカード等の所定の記録媒体を介して行われても良いし、ＬＡＮ或いはインターネットなどのネットワークを介して行なわれても構わない。
　ＲＯＭ３１２は、ＣＰＵ３１１が後述する処理を実行するために必要なコンピュータプログラムやデータを記録している。ＲＯＭ３１２に記録されたコンピュータプログラムは、これに限られず、他の必要なコンピュータプログラムが記録されていても良い。
　ＲＡＭ３１３は、ＣＰＵ３１１が処理を行うために必要なワーク領域を提供する。
　インターフェイス３１４は、バス３１６で接続されたＣＰＵ３１１やＲＡＭ３１３等と外部との間でデータのやり取りを行うものである。インターフェイス３１４は、少なくとも図示を省略の送受信部に接続されている。送受信部がネットワーク４００から受取ったデータは、インターフェイス３１４により受取られるようになっており、インターフェイス３１４から送受信部にわたされたデータは、送受信部によって、ネットワーク４００を介して外部、例えば、決済装置２００に送られるようになっている。
　インターフェイス３１４は、また、タッチパネル式ディスプレイに設けられた入力装置に接続されており、入力装置からの入力を受付けるようになっている。インターフェイス３１４は、タッチパネル式ディスプレイに接続されており、タッチパネル式のディスプレイに後述する画像を表示するためのデータを送るようになっている。

　ＣＰＵ３１１がコンピュータプログラムを実行することにより、決済端末３００内部には、図１１で示されたような機能ブロックが生成される。なお、以下の機能ブロックは、決済端末３００を以下の処理を実行する決済端末として機能させるための上述のコンピュータプログラム単体の機能により生成されていても良いが、上述のコンピュータプログラムと、決済端末３００にインストールされたＯＳその他のコンピュータプログラムとの協働により生成されても良い。
　決済端末３００内には、以下のような制御部３２０が生成され、制御部３２０内に、主制御部３２１、表示制御部３２２、データ入出力部３２３が生成される。

　制御部３２０は、以下に説明するような情報処理を実行する。
　主制御部３２１は、制御部３２０内の全体的な制御を行う。例えば、主制御部３２１は、追って詳述するデータ入出力部３２３から受取ったデータに基づいて表示制御部３２２の制御を行う。
　主制御部３２１は、追って説明するデータ入出力部３２３から、ユーザＩＤと、ユーザ端末１００で生成されたワンタイムパスワードと、決済申込情報とを受取るようになっている。そして、それらをすべて受取ったときに、それらをデータ入出力部３２３に送るようになっている。主制御部３２１は、後述する決済端末取消情報をデータ入出力部３２３から受取る場合がある。決済端末取消情報を受取った場合、主制御部３２１は、それを適当なタイミングでデータ入出力部３２３に送るようになっている。また、主制御部３２１は、各決済端末３００を区別するための、各決済端末３００にユニークな決済端末ＩＤを保持している。決済端末ＩＤは、主制御部３２１によって、決済申込情報に含められるようになっている。
　表示制御部３２２は、主制御部３２１の制御を受けつつ、タッチパネル式とされたディスプレイに表示される画像の制御を行う。ディスプレイには、表示制御部３２２から送られたデータに基づく画像が表示される。主制御部３２１は、表示制御部３２２に対して、ディスプレイにどのような画像を表示させるべきかという指示を送る。

　データ入出力部３２３は、制御部３２０へのデータの入出力を行うものである。具体的には、データ入出力部３２３は、入力装置からの入力を受取るようになっている。入力装置からデータ入出力部３２３へ入力されるデータの例は、上述の通りであり、ユーザＩＤ、ワンタイムパスワード、決済申込情報である。それらは主制御部３２１に送られるようになっている。また、入力装置からは、決済端末取消情報が入力される場合がある。
　また、データ入出力部３２３は、図示を省略の送受信部に対して、データを出力するようになっている。送受信部に対して出力されるデータは例えば、ユーザＩＤ、ワンタイムパスワード、決済申込情報、決済端末取消情報であり、それらは送受信部から、ネットワーク４００を介して、決済装置２００に送られるようになっている。なお、ユーザＩＤと、ワンタイムパスワードは既に説明した通りのものである。決済申込情報は、決済の最終判定を決済装置２００に依頼する情報である。また、決済端末取消情報は、既に終了した過去の決済の一つを取消すための決済端末３００の管理者の意思表示を示す情報であり、入力装置を用いて決済端末３００の管理者が入力するものである。決済端末取消情報には、管理者が取消を望む過去の決済の一つを特定する情報が少なくとも含まれている。

　次に以上のような決済システムの使用方法、及び動作について図１５を参照しながら説明する。
　かかるシステムを用いて決済を行う際には、まず、ユーザが自らの、ユーザ端末１００を操作して、決済の処理を開始する（Ｓ９１１）。そのためにユーザは、決済の処理を開始することを示す情報を入力する。例えば、ユーザ端末１００のディスプレイ１０１に表示されている、図示を省略のアイコンにタッチすることにより、かかる情報の入力を行える。
　その情報は、データ入出力部１２３から、主制御部１２１に送られる。主制御部１２１は、その情報を受付けると、表示制御部１２２に対して、ユーザＩＤ等の入力をユーザに促すような画像をディスプレイ１０１に表示せよとの指示を送る。この指示を受付けた表示制御部１２２は、ディスプレイ１０１に、例えば、図１２（Ａ）の如き、ユーザにユーザＩＤと、パスワードと、ユーザが支払いを行おうとする金額の入力を促す画像を表示する。ユーザは、ユーザＩＤと示された部分の右側にユーザＩＤを、パスワードと示された部分の右側にパスワードを、金額（円）と示された部分の右側に自分が支払おうとする金額をそれぞれ入力する（Ｓ９１２）。ユーザが入力したユーザＩＤとパスワードについてのデータは、入力装置１０２からデータ入出力部１２３に入力され、主制御部１２１に送られる。金額を特定する情報は金額情報であるが、この金額情報も同様に主制御部１２１に送られる。ユーザが入力したユーザＩＤとパスワードと金額は、入力中も含めて、主制御部１２１に制御された表示制御部１２２の制御によってディスプレイ１０１に表示されるから、ユーザは、ディスプレイ１０１を確認しながら、ユーザＩＤとパスワードと金額との入力を行うことができる。図１２（Ｂ）に示した例によれば、ユーザは、この決済システムを用いて、２５０００円の支払いを行おうとしている。
　ユーザＩＤとパスワードと金額情報の入力が終わったら、ユーザは、ディスプレイ１０１に表示された「決定」と書かれたボタンをクリックする。

　「決定」と書かれたボタンをユーザがクリックすると、ＧＰＳ機構が、ユーザ端末１００が存在する位置を特定する情報であるユーザ端末の位置情報を生成する。位置情報は、データ入出力部１２３から主制御部１２１に送られる。主制御部１２１は、ユーザＩＤとパスワードと金額情報とに加えて、位置情報と、主制御部１２１の図示を省略された記録手段に記録された端末情報とをすべて一纏めにして、それらをデータ入出力部１２３に送る。データ入出力部１２３は、それらデータをまとめて送受信部に送り、送受信部は、それらデータをまとめてネットワーク４００を介して決済装置２００に送る（Ｓ９１３）。「決定」と書かれたボタンをユーザがクリックしてから、上記５つのデータの決済装置２００への送信は略実時間で、少なくとも例えば数秒のうちに実行される。

　決済装置２００は、その送受信部でそれらデータを受付ける（Ｓ９２１）。送受信部はそれらデータをすべてデータ入出力部２２１に送り、データ入出力部２２１はそれらデータをすべて主制御部２２２に送る。主制御部２２２は、ユーザＩＤと、パスワードと、端末情報と、金額情報とを与信判定部２２３に、ユーザ端末１００の位置情報を最終判定部２２５にそれぞれ送る。
　与信判定部２２３は、与信判定を実行する（Ｓ９２２）。与信判定は具体的には、以下のように実行される。
　与信判定部２２３は、主制御部２２２からユーザＩＤ、パスワード、及び端末情報を受取ると、受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び預金残高を、与信情報記録部２２４から読み出す。与信判定部２２３が受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に存在しない場合には、パスワード等の情報を与信判定部２２３は、与信情報記録部２２４から読み出さない。この場合には、与信判定部２２３は、与信判定の処理を中止する。
　この実施形態では、図１２（Ｂ）に示したように、ユーザがユーザ端末１００に入力したユーザＩＤは、「d2af1apfa」であり、それと同じユーザＩＤが、与信情報記録部２２４の上から２番目に存在しているから、与信判定部２２３は、与信情報記録部２２４から、そのユーザＩＤと紐付けられたパスワード（aofau554）と、端末情報（012457854）と、預金残高（２９５６００２円）を読み出す。
　与信判定部２２３が主制御部２２２から受取ったユーザＩＤと同じユーザＩＤが与信情報記録部２２４に記録されており、主制御部２２２から受取ったユーザＩＤと同じユーザＩＤと対応付けられた、パスワード、端末情報、及び預金残高が与信情報記録部２２４から読み出された場合には、与信判定部２２３は、主制御部２２２から受取ったパスワード及び端末情報が、与信情報記録部２２４から読み出されたパスワード及び端末情報と同じか否か判定する。それらが共に一致したのであれば、与信判定部２２３は、そのユーザＩＤ等を送って来たユーザが正当なユーザであると認証する。他方、パスワード及び端末情報の少なくとも一方が一致しなかったのであれば、そのユーザＩＤ等を送って来たユーザが正当なユーザでないと判定して、与信判定の処理を中止する。
　次いで、認証されたユーザの与信の判定が実行される。与信判定部２２３は、そのユーザが送ってきた金額情報と、そのユーザのユーザＩＤと紐付けられていた、上記与信情報記録部２２４から読み出された預金残高とを比較する。この実施形態では、預金残高の方が、金額情報で特定される金額と同じかそれよりも大きい場合に、ユーザの求める決済が、仮にではあるが、認められる。他方、預金残高が、金額情報で特定される金額よりも小さい場合には、ユーザの求める決済は認められない。この例では、預金残高（２９５６００２円）の方が、金額情報で特定される金額（２５０００円）よりも大きいため、ユーザの求める決済が認められる。かかる決済が認められるのであれば、与信判定部２２３は、仮許可情報を生成する（Ｓ９２３）。与信判定部２２３が仮許可情報を生成した場合には、その仮許可情報は主制御部２２２に送られるようになっている。
　なお、与信判定部２２３が仮許可情報を生成した場合には、与信判定部２２３は与信判定を行った時刻を特定するための時刻情報を主制御部２２２に通知する。かかる時刻情報は、その仮許可情報で決済が一応認められたユーザが誰であるかを特定するために、ユーザＩＤとともに、主制御部２２２から最終判定部２２５に送られる。
　主制御部２２２は仮許可情報を、データ入出力部２２１に送る。データ入出力部２２１は、仮許可情報を、送受信部、及びネットワーク４００を介してユーザ端末１００に送信する（Ｓ９２４）。

　ユーザ端末１００の送受信部は、決済装置２００から送られてきた仮許可情報を受取る（Ｓ９１４）。受取られた仮許可情報は、データ入出力部１２３から、主制御部１２１に送られる。仮許可情報を受取った主制御部１２１は、仮許可情報を受取った旨を、ＯＴＰ生成部１２４に通知する。
　この通知を受けたＯＴＰ生成部１２４は、ワンタイムパスワードを生成する（Ｓ９１５）。ＯＴＰ生成部１２４は、ワンタイムパスワードを生成するための初期値を有しており、且つ過去に何回ワンタイムパスワードを生成したかということを示す生成回数を記録している。また、ＯＴＰ生成部１２４は、ワンタイムパスワードを生成するための数式（これはつまり、アルゴリズムである。）を使用できるようになっている。ＯＴＰ生成部１２４は、初期値を上述の数式に代入して得た値を再び数式に代入して次の値を得る、という処理を繰り返すことにより次々と値を生成する。生成回数で示された数字よりも１多い順番に作られた値を、ＯＴＰ生成部１２４は、そのとき使用するワンタイムパスワードとするようになっている。
　生成されたワンタイムパスワードは、主制御部１２１に送られる。主制御部１２１は、表示制御部１２２に対してワンタイムパスワードをディスプレイ１０１に表示せよとの指示を送る。表示制御部１２２には、例えば、図１３（Ａ）に示されたような画像が表示される。
　このワンタイムパスワードは従来のクレジットカードを用いた決済システムにおけるクレジットカードナンバーの如くに利用されるものではあるが、後述するようにそれが有効である（決済に用いることができる）時間に制限がある（なお、かかる時間制限はなくてもよい。）。ユーザの注意を促す側面から、図１３（Ａ）に示したように、『このワンタイムパスワードは今から５分間有効です』といった表示を、ワンタイムパスワードと一緒にかどうかはさておき、適当なタイミングでディスプレイ１０１に行うようにするのが好ましい。

　なお、上述したように、決済装置２００の与信判定部２２３は、与信判定を中止した場合やそのユーザについての預金残高が不足していた場合等、仮許可情報を生成しない場合もある。この場合には、当然にユーザ端末１００には仮許可情報が送信されない。もっともこの場合においても、決済装置２００からユーザ端末１００に対して何らかのデータを送信し、決済装置２００で仮許可情報が生成されなかったこと（ユーザの視点では、決済の手続きが継続できないこと。）、及び必要であればその理由をユーザ端末１００のディスプレイ１０１に表示するようにしても良い。
　その場合には、例えば、図１３（Ｂ）に示したような画像がユーザ端末１００のディスプレイ１０１に表示される。この画像も、主制御部１２１の指示に従い、表示制御部１２２がディスプレイ１０１に表示する。この図の場合であれば、左側の四角いチェックボックスの中にチェックが入っていることから明らかなように、パスワードが正しくないということが決済の手続きが継続できない理由であるということが、ユーザに示されている。

　ユーザ端末１００のディスプレイ１０１にワンタイムパスワードが表示されると、ユーザが、それを決済端末３００に入力することにより決済端末３００に渡す（Ｓ９３１）。予めワンタイムパスワードを生成しておけば、ワンタイムパスワードを決済端末３００に渡すにあたって手間取ることもないであろう。
　上述したように、決済端末３００は、図示を省略のタッチパネル式のディスプレイを備えている。タッチパネル式のディスプレイには、例えば図１４（Ａ）に示したような、ユーザ等にユーザＩＤとワンタイムパスワードとの入力を促す表示を行う。かかる表示は、決済端末３００の主制御部３２１の制御下で、表示制御部３２２が行う。ユーザは、ユーザＩＤと表示された部分の右側にユーザＩＤを、ＯＴＰと表示された部分の右側にワンタイムパスワードを、タッチパネル式のディスプレイを手で操作することにより入力する。
　ユーザは、決済端末３００のディスプレイを操作して、ユーザＩＤとワンタイムパスワードとを入力する（図１４（Ｂ））。ユーザが入力したユーザＩＤとワンタイムパスワードとは、入力中も含めて、主制御部３２１に制御された表示制御部３２２の制御によってディスプレイに表示されるから、ユーザは、ディスプレイを確認しながら、ユーザＩＤとワンタイムパスワードとの入力を行うことができる。
　なお、この実施形態では、ユーザの手入力によって、ユーザ端末１００で生成されたワンタイムパスワードを決済端末３００に渡すこととしているが、これには限られず、例えば決済端末３００が備えた、あるいは決済端末３００に接続されたカメラによりユーザ端末１００のディスプレイ１０１を撮像した後、そのディスプレイ１０１を含む画像に対して決済端末３００で所定の画像処理を行うことにより、ディスプレイ１０１に表示されているワンタイムパスワードを決済端末３００が特定するようにすることもできる。或いは、ユーザ端末１００のディスプレイ１０１に、一次元或いは二次元バーコードとして表示されたワンタイムパスワードを、決済端末３００が備えるバーコードリーダで読み取ることにより、ユーザ端末１００で生成されたワンタイムパスワードを決済端末３００に渡すことも可能である。また、Ｂｌｕｅｔｏｏｔｈ、赤外線通信などの無線通信によって、ユーザ端末１００から決済端末３００にワンタイムパスワードをデータとして渡すことも可能である。なお、ユーザ端末１００から決済端末３００に無線通信によってワンタイムパスワードを渡す場合には必ずしも、ユーザ端末１００のディスプレイ１０１にワンタイムパスワードを表示する必要はない。
　なお、ユーザ端末１００から決済端末３００にワンタイムパスワードを引渡す方法は、これには限られない。ユーザは、ユーザ端末１００で発生させたワンタイムパスワード、或いはワンタイムパスワードを特定する情報を、例えば自らが所有する公知或いは周知のプリンタで紙に印刷することができる。この場合にはユーザは、ワンタイムパスワードを、支払いを行おうとしている場所（店舗内、或いはその付近）で発生させる必要はなく、自宅或いはプリンタが存在する場所でそれを行えば良い。ワンタイムパスワードが印刷された紙は、金券として貨幣（或いは紙幣）と同様に、その引渡しによる支払いのためのツールとして使用することが可能になる。ユーザはその金券を、決済端末３００の管理者に引渡すことにより、決済を行うことが可能となる。かかる金券の一例を、図２０と、図２１とに示す。
　図２０は、ワンタイムパスワードを印刷した金券の一例であり、図２０（Ａ）は、ある金券の表面、同（Ｂ）は、その金券の裏面を示す。金券には、ワンタイムパスワードが印刷されている。この実施形態では、一例としてワンタイムパスワードとして、ユーザ端末１００で、０１５６３８９４４５１という数字が発生させられたものとしているが、金券の表面にはワンタイムパスワードの一部（ＯＴＰ１）として、その前半が、金券の裏面にはワンタイムパスワードの残部（ＯＴＰ２）として、その後半が、印刷されている。ワンタイムパスワードは、その全部が金券の表面又は裏面のいずれかに印刷されても良いが、このようにワンタイムパスワードが金券の両面に渡って印刷されることにより、悪意の第三者がワンタイムパスワードの全体を盗み見たり、盗撮したりすることが難しくなる。また、図２０の金券には、この金券を用いて支払いを行うことが想定された者（ワンタイムパスワードを発生させたユーザとは限らない。）の顔（顔写真）Ｆが印刷されている。このような金券であれば、決済端末３００の管理者に金券を渡した者の顔と、金券に印刷された顔とが一致した場合にのみ決済端末３００の管理者が決済に関する以後の処理を行うというルールを作ることが可能となり、そのようなルールを実行することにより、金券を不正に取得した者による金券Ｆの不正使用（不正な支払い）が行われるリスクを低減できる。これは、金券を用いる場合におけるユーザの顔による認証に事実上相当する。なお、この例ではユーザ等の顔Ｆは金券の表裏両面に印刷されているが、顔Ｆは金券のいずれか一方の面に印刷されていれば足りる。このような金券を受取った決済端末３００の管理者は、金券の表裏に記載のワンタイムパスワードの一部と残部を、テンキーその他の入力装置を用いて、或いはカメラで撮像することにより、決済端末３００に入力可能である。顔Ｆをユーザ以外の者とした場合には、ユーザからその金券を正当に譲渡された者が、その金券を用いて決済を行うことが可能となる。
　図２１の金券は、ワンタイムパスワードではなく、ワンタイムパスワードを特定するための情報を紙に印刷したものである。ワンタイムパスワードを特定するための情報の例として、この実施形態では、二次元バーコードを採用している。図２１に示した金券の場合でも、金券の表面にワンタイムパスワードの一部が、金券の裏面にワンタイムパスワードの残部が印刷されている。図２１（Ａ）で示された面に印刷された二次元バーコードは、図２０（Ａ）に記載のＯＴＰ１に、また、図２１（Ｂ）で示された面に印刷された二次元バーコードは、図２０（Ｂ）に記載のＯＴＰ２に対応しており、それら二次元バーコードを所定の二次元バーコードリーダで読取ると、ＯＴＰ１、ＯＴＰ２にそれぞれ対応した値が読み出されるようになっている。また、図２０に示した金券の場合でもそうであったが、図２１に示した金券でも、その表裏両面にその金券を使用することが予定された者の顔Ｆが印刷されている。このような金券を受取った決済端末３００の管理者は、上述したユーザの顔による認証の後に、その金券の表裏に印刷された二次元バーコードを、例えばバーコードリーダを用いて読取らせることにより、ワンタイムパスワードを決済端末３００に入力することが可能となる。
　また、図２１（Ａ）、（Ｂ）の表裏両面に印刷された二次元バーコードは、それらの双方を併せることにより、金銭情報を特定することのできる情報である場合もある。例えば、図２１（Ａ）に記載の二次元バーコードが、「０１５６３８９４４５１」という金銭情報をその一部含む「３５８９０１５６３８９４４５１１２２３５８７９５……」という１００桁程の文字列を特定するものであるとする。他方、図２１（Ｂ）は、そのうちの何文字目からが金銭情報であるかを特定するものであるとする。上述の例であれば、その５文字目からの１１文字が金銭情報に該当するから、図２１（Ｂ）の二次元バーコードで特定される情報は、「５」という文字である。金銭情報の桁数が固定されているのであれば、図２１（Ｂ）の二次元バーコードで特定される情報は、「５」という文字のみで良いが、金銭情報の桁数が可変なのであれば、「５」という文字に加えて、そこから始まる１１文字が金銭情報であることを示す「１１」という数字も図２１（Ｂ）の二次元バーコードで特定されるようになっている必要となる。上述の２つの二次元バーコードは、２つを併せて金銭情報を特定することができればよく、例えば、図２１（Ａ）に記載の二次元バーコードで特定されるのが、金銭情報のｎ倍の数字であり、且つ図２１（Ｂ）に記載の二次元バーコードで特定されるのが、上記「ｎ」である等、適当に決定することができる。このような金券を受取った決済端末３００の管理者は、その金券の表裏に印刷された二次元バーコードを、例えばバーコードリーダを用いて読取らせることにより、ワンタイムパスワードを決済端末３００に入力することが可能となる。
　なお、この実施形態では多数のユーザが存在するが、各ユーザがワンタイムパスワードを決済端末３００の管理者に引渡すための方法は必ずしもユーザの全員について同じである必要はなく、各ユーザが以上で説明したワンタイムパスワードの引渡すための方法のうちの好みのものを選択するようにしてもよい。この実施形態ではそうしている。
　いずれにせよ、ユーザＩＤとパスワードと金額情報の入力が終わったら、ユーザ或いは決済端末３００の管理者は、ディスプレイに表示された「決定」と書かれたボタンをクリックする。

　ユーザが、「決定」と書かれたボタンをクリックすると、その入力内容はデータ入出力部３２３から主制御部３２１に送られる。主制御部３２１は、その入力内容を受取ると、決済申込情報を生成する。決済申込情報は、決済端末３００の管理者が決済の最終判定を決済装置２００に依頼する情報である。決済申込情報には、また、その決済端末３００を特定するための、決済端末ＩＤが含められる。主制御部３２１は、決済申込情報とユーザＩＤとワンタイムパスワードとを一纏めにしてデータ入出力部３２３を介して決済端末３００の送受信部に送り、送受信部からネットワーク４００を介して決済装置２００に送る（Ｓ９３２）。

　決済装置２００は、その送受信部で、決済端末３００から送られてきたそれら３つのデータを受取る（Ｓ９２５）。決済端末３００から送られてきた決済申込情報とユーザＩＤとワンタイムパスワードは、データ入出力部２２１を介して主制御部２２２に送られる。
　主制御部２２２は、決済端末３００から送られてきた決済申込情報とユーザＩＤとワンタイムパスワードのデータを、最終判定部２２５に送る。これらデータを受取った最終判定部２２５は、決済申込情報に含まれていた決済端末ＩＤと紐付けられている位置情報を、位置情報記録部２２６から読み出す。

　他方、主制御部２２２は、決済申込情報等を受取ると、ワンタイムパスワードを生成せよとの指示を、ＯＴＰ生成部２２７に送る。
　ワンタイムパスワードを生成せよとの指示には、主制御部２２２が受取ったユーザＩＤが付されている。ＯＴＰ生成部２２７は、そのユーザＩＤに対応するユーザＩＤと紐付けられている初期値と、生成回数とを、ＯＴＰ情報記録部２２８から読み出す。
　ＯＴＰ情報記録部２２８に記録されていた、それら初期値と生成回数についての情報を用いてＯＴＰ生成部２２７によって行われるワンタイムパスワードの生成の処理は、ワンタイムパスワードを生成せよとの指示を出すきっかけとなった決済申込情報と共に送られてきたユーザＩＤによって特定されるユーザ端末１００のＯＴＰ生成部１２４で実行された処理とまったく同じものとなる。したがって、ユーザ端末１００で行われたワンタイムパスワードの生成や、決済端末３００から決済装置２００へのワンタイムパスワードの送信等のどこかに、第三者による不正がない限り、ユーザ端末１００でなされるワンタイムパスワードの生成の処理と、決済装置２００で行われるワンタイムパスワードの生成の処理とは、完全に同期したものとなる。
　ワンタイムパスワードを生成したら、ＯＴＰ生成部２２７は、それを、主制御部２２２を介して最終判定部２２５に送る。

　最終判定部２２５が、位置情報記録部２２６から位置情報を読み出し、また、ＯＴＰ生成部２２７からＯＴＰ生成部２２７が生成したワンタイムパスワードを受取る前に、既に、最終判定部２２５には、主制御部２２２からユーザ端末１００で生成され決済端末３００から送られてきたワンタイムパスワードと、これもユーザ端末１００で生成され、ユーザ端末１００から送られてきた位置情報と、与信判定部２２３で生成され主制御部２２２を介して送られてきた時刻情報とが存在している。
　最終判定部２２５は、これらの情報を用いて、最終判定を行う（Ｓ９２６）。

　最終判定は、以下のように行われる。
　この実施形態における最終判定では、最終判定部２２５は、ユーザ端末１００が生成し、決済端末３００から送られてきたワンタイムパスワードと、ＯＴＰ生成部２２７が生成したワンタイムパスワードとを比較してこれらが一致するか否かを判定する。両ワンタイムパスワードが一致することが、最終判定で決済が可能と判定されるための条件の一つとなる。これを条件とするのが有効なのは、両ワンタイムパスワードが一致するのであれば、ユーザ端末１００を使用してワンタイムパスワードを生成した者や、ワンタイムパスワードを送って来た決済端末３００の管理者に悪意の第三者によるなりすましが無く、また、ワンタイムパスワードを決済端末３００から決済装置２００に送信する間にも、悪意の第三者の攻撃が無い等、決済の全過程に不正がないと想定することが可能であるからである。
　また、この実施形態における最終判定では、最終判定部２２５は、ユーザ端末１００が生成し、ユーザ端末１００から送られてきた位置情報と、位置情報記録部２２６から読み出された位置情報とを比較して、両位置情報により特定される位置が、所定の距離よりも近いか否かを判定する。両位置情報により特定される位置が所定の距離、例えば２０ｍよりも近いことが、必ずしもこの限りではないがこの実施形態では、最終判定で決済が可能と判定されるための条件の一つとなる。これを条件とするのが有効なのは、以下の理由による。ユーザ端末１００から送られて来た位置情報は、端的に言えば、ユーザ端末１００がどこにあるかということを示すものである。位置情報記録部２２６から読み出された位置情報は、端的に言えば、決済端末３００がどこにあるかを示すものである。そして、両位置情報により特定される位置が近いということは、ユーザ端末１００を操作するユーザと、決済端末３００の管理者が近くにいるということを示している。ユーザと、ユーザから支払いを受ける決済端末３００の管理者は、多くの場合、支払いが行われるとき近くにいる。例えば、レストランその他の飲食店や、実店舗の商店等での支払いの場合、そのような状況は普通に生じるというよりも、そうでないことがまず無い。ユーザと決済端末３００との距離が近いという状況が生じているか否かを、上述の如き２つの位置情報の比較により確認することにより、第三者が、ユーザ又は決済端末３００の管理者になりすますことを防止できる可能性が高まる。しかも、決済端末３００の位置はある程度固定されてはいるが、ユーザは移動するため、ユーザがどこにいるかを知らない第三者はユーザになりすますことは難しい。したがって、２つの位置情報を対比した結果を、決済を認める条件とすることには大きな意味がある。なお、両位置情報により特定される位置が「近い」と判断されるか、されないかの基準となる距離（例えば、上述の場合であれば２０ｍ）が小さければ小さい程、この決済システムを用いての決済の安全性は高まるが、この基準となる距離は、ユーザ端末１００に含まれるＧＰＳ機構の性能（位置情報により特定されるユーザ端末１００の位置の精度）等に応じて適切に決定すれば良い。
　他方、決済端末３００が、実店舗に存在しない場合がある。例えば、インターネット上に存在する仮想店舗での支払いの場合には、広く知られているようにオンライン決済が行われる。その場合には、ユーザと決済端末３００の距離は、決済を認めるための条件としたところで大した意味を持たない。必ずしもこの限りではないが、この実施形態では、決済端末３００が実店舗に存在しない場合には、図８の決済端末ＩＤ４の場合のように、その決済端末３００についての位置情報は位置情報記録部２２６に記録されていない。この場合には、決済装置２００は、最終判定を行うにあたり、上述の如き２つの位置情報の比較を行わない（或いは、省略する）ようにすることができる。この決済システムの全体で、位置情報を用いないようにすることも可能である。特に、本願発明における金銭情報としてのワンタイムパスワード、或いは本願発明における特定情報としての二次元バーコードが印刷された金券を用いてユーザが、決済端末３００の管理者にワンタイムパスワードを渡す場合には、かかる位置情報の比較を省略するのが現実的であろう。
　この実施形態における最終判定では、最終判定部２２５は、与信判定部２２３が生成した時刻情報により特定される時刻と、最終判定が行われた時刻とを対比し、その時間間隔が所定の時間間隔以内であるか否かを判定する。その時間間隔が所定の時間間隔（この実施形態では、図１３（Ａ）を用いて説明したように、その時間間隔は５分である。）以内であることが、必ずしもこの限りではないがこの実施形態では、最終判定で決済が可能と判定されるための条件の一つとなる。これを条件とするのが有効なのは、その時間間隔を短くすることによって、ユーザ端末１００で生成されたワンタイムパスワードが第三者に盗まれて不正に使用されることが可能な時間を短くすることができ、それにより決済の安全性をより高めることができるからである。なお、この実施形態では、与信判定部２２３で与信判定が行われた時刻を、上述の時間間隔を計測するための始点として用い、最終判定部２２５で最終判定が行われる時刻を、上述の時間間隔を計測するための終点として用いることとしている。しかしながら、上述の時間間隔を計測するための特に始点は、上述のタイミングには限られない。上述の時間間隔を計測するための始点は、ユーザが、ユーザ端末１００の入力装置１０２を操作することによって、この決済のための処理に必要な最初の入力を行って以降、最終判定部２２５が最終判定を行う前の適当なタイミングとすることができる。つまり、Ｓ９１１が開始された後、最終判定部２２５で最終判定が行われる前の任意のタイミング、特には、決済装置２００からユーザ端末１００に仮許可情報が届くその瞬間までの任意の時点を、上述の時間間隔を計測するための始点とすることができる。例えば、ユーザ端末１００で金額情報が入力されたタイミング、ユーザ端末１００でディスプレイ１０１に表示された「決定」という文字が表示されたボタンがクリックされたタイミング、ユーザ端末１００から送信された金額情報等が決済装置２００に受取られたタイミング、与信判定部２２３で与信判定が開始されたタイミング、決済装置２００からユーザ端末１００への仮許可情報の送信が開始されたタイミング等が、採用可能な始点の例となる。なお、この決済システムで、ユーザ端末１００で生成されたワンタイムパスワードに有効期限を設けないことも可能である。
　この実施形態では、決済装置２００の最終判定部２２５は、上述の３つの条件がすべて充足されたと判定したときにのみ、ユーザ端末１００を持つユーザからの決済端末３００の管理者への支払いを認める決定を最終的に行う。最終判定部２２５は、３つの条件のいずれかが充足されない場合には、上記支払を認めないとの決定を最終的に行う。これら両決定を、最終判定と称する。
　最終判定部２２５は、最終判定を行った場合、最終判定の結果を示すデータである最終判定データを生成（Ｓ９２７）し、それを例えばユーザＩＤとともに主制御部２２２に送る。これを受取った主制御部２２２は、最終判定で支払いが認められた場合には、当該最終判定をなすために使用されたワンタイムパスワードを生成したユーザ端末１００を持つユーザから、そのワンタイムパスワードの生成のきっかけとなった金額情報で特定される金額の金銭の、最終判定をなすために使用されたワンタイムパスワードを送って来た決済端末３００の管理者への支払いを認めるための処理を行う。この処理の結果は、例えば、主制御部２２２に内蔵された、或いは決済装置２００の内部、或いは外部にある図示を省略の記録媒体に記録され、その支払の処理を実現するために必要であれば、関係する金融機関等へと通知される。記録媒体に記録される内容は、少なくとも支払いを行ったユーザを特定するための情報、支払いを受ける者を特定するための情報、及び支払いに使用されたワンタイムパスワードである。ワンタイムパスワードを記録するのは、同じワンタイムパスワードで２回の支払いを認めないようにするためである。また、最終判定データを受取った主制御部２２２は、支払いの処理の一環として、ユーザから、決済端末３００の管理者への支払いが認められた金銭に相当する金額を、減じる。減じられた額に相当する金銭は、即時に支払いを受ける決済端末３００の管理者に送金されても良いし、決済装置２００或いはその管理者が一旦預かってもよい。与信情報記録部２２４の上から２番目に記載されたユーザが、２５０００円の支払いをしたのであれば、主制御部２２２は、その預金残高２９５６００２円から２５０００円を減じて、その預金残高を２９３１００２円に書換える。
　また、主制御部２２２は、最終判定で支払いが認められなかった場合には、上述の処理を行わない。
　他方、主制御部２２２は、最終判定データの内容を、データ入出力部２２１に送り、送受信部及びネットワーク４００を介して、その最終判定の基礎となる決済申込情報を送信してきた決済端末３００に送るようになっている（Ｓ９２８）。

　最終判定データを、決済装置２００から決済端末３００は受取る（Ｓ９３３）。決済端末３００は、このデータをその送受信部で受取る。送受信部が受取ったそのデータは、送受信部からデータ入出力部３２３に送られ、データ入出力部３２３から主制御部３２１に送られる。
　主制御部３２１は、最終判定データに基づく内容をそのディスプレイに表示させるべく表示制御部３２２を制御する。表示制御部３２２の制御により決済端末３００のディスプレイには、適当な表示がなされる（Ｓ９３４）。その表示は、最終判定データの内容が支払いを認めるものであればその旨を示すものとなり、最終判定データの内容が支払いを認めないものであればその旨を示すものとなる。
　なお、決済装置２００は、最終判定データの内容を、決済端末３００のみならずユーザ端末１００にも送信するようになっていても良い。この場合には、ユーザ端末１００のディスプレイ１０１に、決済端末３００のディスプレイに表示されたのと同様の、最終判定データに基づく内容が表示される。

　以上が、この実施形態の決済システムで行われる決済の流れである。
　ただし、以上のように行われた決済が、取消される場合がある。それは次のような流れで実行される。
　ユーザと決済端末３００の管理者が、何らかの事情により過去に行った決済を取消したいと考えたとする。そのときユーザは、ユーザ端末１００の入力装置１０２を操作して、決済の取消しの画面をディスプレイ１０１上に呼出す。そのときのディスプレイ１０１上の表示の一例を、図１６に示す。なお、この例では、ユーザＩＤがd2af1apfaであるユーザが行った２５０００円の上記決済を取消すものとする。
　図１６に示したように、ディスプレイ１０１には、取消が可能な過去の決済の一覧が表示される。過去の決済のうち取消を行えるものは、この実施形態では、決済装置２００で決済が終了してから例えば１０分以内のものに制限されているから、ここで表示される過去の決済は多くはないであろう。図１６（Ａ）では、２０１５年９月１５日の１９時２１分になされた２５０００円の支払いと、同１９時１８分に行われた２６００円の支払いの２つが、取消を行える対象としてディスプレイ１０１に表示されている。ユーザは、入力装置１０２を使用して、それらのうちから一つを選択する。図１６（Ｂ）では、取消の対象となっている２つの支払いのうちの前者が選択された状態を示している。ユーザが、決定と記載されているボタンをクリックすると、取消の対象として２０１５年９月１５日の１９時２１分になされた２５０００円の支払いを特定した情報を含む、ユーザ端末取消情報が生成される。ユーザ端末取消情報は、入力装置１０２からの入力をデータ入出力部１２３を介して受付けた主制御部１２１が生成する。ユーザ端末取消情報は、主制御部１２１からデータ入出力部１２３を介して送受信部へ送られ、送受信部からネットワーク４００を介して決済装置２００に送られる。
　他方、決済端末３００の管理者も、同様の処理を行い、決済端末取消情報を生成する。決済端末３００の管理者は、決済端末３００の入力装置を操作して決済端末３００のディスプレイ上に、図１６に示したのと同様の画面を表示させる。ディスプレイには、取消が可能な過去の決済の一覧が表示される。過去の決済のうち取消を行えるものは、この実施形態では、決済装置２００で決済が終了してから例えば１０分以内のものに制限されているけれども、一般に一つの決済端末３００を用いて行われる決済は、一つのユーザ端末１００を用いて行われる決済よりも数が多いから、決済端末３００のディスプレイには、図１６に示したものよりもより多くの決済が表示されることになるであろう。決済端末３００の管理者は、決済端末３００の入力装置を操作して、そのうちの一つを選択する。決済端末３００の管理者が選択を誤らないようにするには、図１６で示した例では、過去の決済を特定するための情報として、決済の日時と金額のみが表示されていたが、それに加えて決済を行ったユーザを特定するための情報、例えばユーザＩＤをもディスプレイ上に表示されるようになっているのが便利であろう。決済端末３００の管理者が入力装置を操作することにより、ユーザＩＤがd2af1apfaであるユーザが２０１５年９月１５日の１９時２１分に行った２５０００円の支払いを特定した情報を含む、決済端末取消情報が生成される。決済端末取消情報は、入力装置からの入力をデータ入出力部３２３を介して受付けた主制御部３２１が生成する。決済端末取消情報は、主制御部３２１からデータ入出力部３２３を介して送受信部へ送られ、送受信部からネットワーク４００を介して決済装置２００に送られる。
　決済装置２００は、その送受信部で、ユーザ端末取消情報と決済端末取消情報とを受取る。これらは、データ入出力部２２１を介して、主制御部２２２へと送られる。主制御部２２２は、それら２つの情報を受取った場合、それらユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一であるか否かを判定する。その結果、両者が同一である場合には、主制御部２２２は当該過去の決済を取消すための処理を行う。ユーザ端末取消情報と決済端末取消情報との一方しか受取らなかった場合、或いはこれら２つの情報を受取ったけれどもユーザ端末取消情報と、決済端末取消情報とによって特定される過去の決済が同一でない場合には、過去の決済を取消す処理を主制御部２２２は行わない。主制御部２２２は、決済の取消の結果を、例えば、主制御部２２２に内蔵された、図示を省略の記録媒体に記録し、また、その取消の処理を実現するために必要であれば、関係する金融機関等へと通知する。また、主制御部２２２は、与信情報記録部２２４においてした上述した預金残高の書換を取消し、その預金残高を支払い前の残高に戻す。

　上述した取消の処理は、例えば、以下のように用いればより実用的になる。
　従来のクレジットカードにおけるクレジットカードナンバーの如くに用いられるこの実施形態におけるワンタイムパスワードは、基本的に一度しか使われないいわば使い捨てのものであるから、その盗用の可能性は極めて低くほとんど想定することができない。しかしながら、ユーザ端末１００で生成されたワンタイムパスワードを、ユーザが、決済端末３００を介して決済装置２００に送るまでの間に第三者に盗まれ、第三者に使用されてしまう可能性がないわけではない。
　上述の実施形態では、決済端末３００から決済装置２００にユーザＩＤか、或いはユーザを特定するための他の情報である署名、指紋や静脈の性状等の情報を送信することとしていた。これらのうち、決済端末３００から送られるワンタイムパスワードを用いて支払いを行おうとするユーザを特定する材料として、指紋や静脈の性状等のバイオ情報を用いるのであれば、ワンタイムパスワードを盗んだ第三者が正規のユーザになりすますのは極めて難しいであろう。しかしながら、ユーザを特定するために決済端末３００から決済装置２００にワンタイムパスワードとともに送られる材料がユーザＩＤのみである場合には、ユーザＩＤは通常変化させない固定のものであるから、ワンタイムパスワードのみならずユーザＩＤまで盗まれた場合には、第三者によるなりすましを防止することができないという事態も生じうる。また、追って変形例で述べるように、決済端末３００から決済装置２００にワンタイムパスワードを送る場合に、ユーザＩＤ等の、そのワンタイムパスワードを自らのユーザ端末１００で生成したユーザを特定するための如何なる情報をも添付しないことも可能である。そのような場合においては、ユーザが本人であるという確認と、そのユーザの支払い能力についての与信の判定をパスして仮許可情報が生成された上で発生させられたワンタイムパスワードは、それを用いれば、そのワンタイムパスワードを自らのユーザ端末１００を用いて発生させたユーザのみならず、誰でもが、そのワンタイムパスワードを相手に引き渡すことで支払いを行える、現金、小切手等の如き性格を持つことになる。決済システムが、そのようなワンタイムパスワードを扱うものである場合には、ワンタイムパスワードを盗み出した第三者は、そのワンタイムパスワードをそのワンタイムパスワードを自らのユーザ端末１００で発生させたユーザになり変わって使用することができる。
　そのような第三者によるワンタイムパスワードの不正使用を上述した取消の処理により防止することができる。

　上述したように、この実施形態の決済システムでは、最終判定データが、決済装置２００から決済端末３００に送られるようになっており、最終判定データが示す内容が、決済端末３００が備えるディスプレイに表示されるようになっている。
　ここで、第三者にワンタイムパスワードが不正に使用されてしまったと仮定する。例えば、ユーザが、自分が支払いを行うために、自らのユーザ端末１００で発生させたワンタイムパスワードを渡そうと思っていた相手以外の者が管理する決済端末３００から、盗まれたワンタイムパスワードが、決済装置２００に対して送信されてしまったとする。この場合、そのワンタイムパスワードによる支払いは、決済装置２００の最終判定部２２５により承認されてしまう場合がある。もっとも、上述したように、最終判定部２２５が、決済端末３００から送られてきたワンタイムパスワードによる支払いに対して肯定的な判定を行うためには、ワンタイムパスワードの一致と、ユーザ端末１００と決済端末３００との距離が近いことと、そしてワンタイムパスワードの有効期限が切れていないこと、の３つの要件がすべて充足されることがこの実施形態では必要である。したがって、ユーザが盗まれて決済装置２００に送られたワンタイムパスワードが決済装置２００のＯＴＰ生成部２２７で作られたワンタイムパスワードと一致したとしても、他の２つの要件が充足されなければ、最終判定部２２５が決済を認めることはない。しかしながら、その２つの条件が充足される場合もあるし、またそもそもこれら２つの条件は、この実施形態における決済システムにおいて必ずしも必須のものではないため、これら２つの条件がそもそも最終判定部２２５において考慮されない場合もあり得る。そのような場合には、上述のワンタイムパスワードの一致の条件が満足されたのであれば、決済装置２００の最終判定部２２５は、そのワンタイムパスワードによる支払いを承認する。
　この場合、最終判定データが、決済装置２００から決済端末３００に送られることになる。かかる最終判定データは、決済が認められたということを示すものとされている。ただし、ここで問題なのは、支払いが受けられることになった決済端末３００の管理者は、ユーザが本来支払いを行おうと意図していた相手とは別である、ということである。この段階では、ユーザが本来支払いを行おうとしていた相手が管理者となっている決済端末３００には、最終判定データが届いていない。他方、上述したように、最終判定データは、ユーザ端末１００にも送られる場合がある。しかしながら、仮にこの段階でユーザ端末１００に最終判定データが送られて来たとしても、それはそのユーザから、ユーザが本来支払いを行うつもりのなかった相手への支払いを決済装置２００が認めた、という内容になる。ユーザ端末１００のディスプレイに表示される情報の程度にもよるが、ユーザはその内容からは、自己のユーザ端末１００にて発生させたワンタイムパスワードが第三者に不正に使用されたことに気づかない可能性がある。
　他方、ユーザが自己のユーザ端末１００にて発生させたワンタイムパスワードを第三者に既に使用されてしまった後に、つまりそのワンタイムパスワードによって誰かへの支払いが成立してしまった後に、ユーザがそのワンタイムパスワードを、ユーザが本来支払いをしようとした相手に対して渡したとする。この場合そのワンタイムパスワードは、その相手が管理者となっている決済端末３００から、決済装置２００に送られる。しかしながら、そのワンタイムパスワードは既に、過去の支払いに使用されてしまっているから、決済装置２００の最終判定部２２５は、そのワンタイムパスワードによる支払いを再び認めることはない。例えば、そのワンタイムパスワードが過去（例えば、一定の時間の範囲内）に利用されたものであることは、最終判定部２２５が上述した記録媒体に記録されているワンタイムパスワードの中に今最終判定の対象となっているワンタイムパスワードと同じものが存在するか否かを検索し、同じものが存在するのであれば、そのワンタイムパスワードが過去に利用されたものであると判定することができる。
　かくして、この場合に決済装置２００から、決済端末３００へ送られる最終判定データは、決済が認められないということを示すものとなる。本来支払いを受けるべき者であったその決済端末３００を管理者は、決済装置２００で決済が認められなかったことをワンタイムパスワードを渡してきたユーザに告げる。
　これを聞いたユーザは、過去にワンタイムパスワードの不正利用があったことを認識し、上述の取消の処理を実行すればよい。これにより、ワンタイムパスワードの不正利用を防ぐことが可能となる。なお、２回目のワンタイムパスワードの使用の試みがあったことを、上述のように決済装置２００は把握することが可能である。その旨を、或いはワンタイムパスワードの不正利用を行おうとする者がいることを、決済装置２００はユーザ端末１００に通知するようになっていても良い。

［変形例］
　変形例の決済システムについて説明する。この変形例における決済システムは基本的に、第１実施形態の決済システムと同様に構成され、それが実行する決済の流れも、第１実施形態の決済システムの場合と同様である。
　第１実施形態と変形例の決済システムで異なるのは、決済装置２００の最終判定部２２５における、ワンタイムパスワードの生成のタイミング及びその方法と、最終判定の行い方であり、また、それに付随して、決済端末３００から決済装置２００に送られるデータにも変更がある。

　第１実施形態では、上述したように、決済端末３００から決済装置２００に対して、決済申込情報と、ワンタイムパスワードとを送信する場合には、それらと共にユーザＩＤもが送信されるようになっていた。
　決済端末３００から送信された、ユーザ端末１００で生成されたワンタイムパスワードは、決済装置２００のＯＴＰ生成部２２７で生成されたワンタイムパスワードと最終判定部２２５で対比されるものであるから、決済申込情報と共に、決済端末３００から決済装置２００に送られることが必要となる。他方、決済申込情報とワンタイムパスワードとを決済端末３００から決済装置２００に送信するにあたって、ユーザＩＤの送信が必要な理由として、第１実施形態では、『決済装置２００がワンタイムパスワードを生成するための条件はユーザ毎に異なるため（例えば、この実施形態ではユーザ毎に割当てられた初期値が異なるが、用いる数式つまりアルゴリズムをユーザ毎に変えることも可能である。）、決済装置２００においてユーザ毎に異なる条件のうちのどの条件でワンタイムパスワードを生成させるかを確定するために、ユーザを特定するための情報が必要となる。』と説明した。つまり、決済端末３００から送信された、ユーザ端末１００で生成されたワンタイムパスワードは、決済装置２００のＯＴＰ生成部２２７で生成されたワンタイムパスワードと最終判定部２２５で対比されるものであるところ、決済の処理の間に両ワンタイムパスワードが一致するようにするためには、決済装置２００で、その決済を求めているユーザについてのワンタイムパスワードを生成する必要があるが、その決済を求めているユーザが誰か特定できない限り、正しいワンタイムパスワードを生成することができないから、第１実施形態では、決済申込情報及びワンタイムパスワードと共に、ユーザを特定するためのユーザＩＤをも決済端末３００から決済装置２００に送るようにする、というのが第１実施形態における理屈である。したがって、第１実施形態では、決済申込情報及びワンタイムパスワードと共に、ユーザＩＤか、或いはユーザを特定するための他の情報である署名、指紋や静脈の性状等の情報を、決済端末３００から決済装置２００に送信することとしていた。
　しかしながら、決済申込情報及びワンタイムパスワードに加えて、ユーザＩＤ、署名、指紋や静脈の性状等の情報の如きユーザを特定するための情報を決済端末３００から決済装置２００に対して送らなくとも、決済装置２００の最終判定部２２５で、ユーザ端末１００で生成されたワンタイムパスワードと、決済装置２００で生成されたワンタイムパスワードとを正しく比較することは可能である。
　この変形例は、そのような決済システムに関する。

　変形例の決済システムでは、上述したように、決済端末３００から決済装置２００に、決済申込情報が送信される際に、決済申込情報にユーザ端末１００で生成されたワンタイムパスワードは付加されるが、ユーザＩＤを始めとするその決済を行おうとしているユーザを特定するための情報は付加されない。

　他方、変形例の決済システムでは、ＯＴＰ生成部２２７がワンタイムパスワードを生成するタイミングが第１実施形態とは異なる。第１実施形態では、主制御部２２２からワンタイムパスワードを生成せよとの指示を受けるとワンタイムパスワードを生成するようになっていたが、かかる指示は主制御部２２２が、データ入出力部２２１から、決済端末３００から送られてきた決済申込情報とワンタイムパスワードとを受取った後に出されていた。
　しかし、この変形例では、与信判定部２２３が仮許可情報を生成するのと同時に、或いはその後遅滞なく、少なくとも決済端末３００から決済申込情報及びワンタイムパスワードが送られてくるよりも前に、ＯＴＰ生成部２２７はワンタイムパスワードを生成する。これには限られないが、この変形例では、与信判定部２２３が生成した仮許可情報が与信判定部２２３から主制御部２２２に送られると、主制御部２２２は、ワンタイムパスワードを生成せよとの指示を、その仮許可情報の対象となっているユーザＩＤと共に、ＯＴＰ生成部２２７に送る。この指示を受取ったＯＴＰ生成部２２７は、主制御部２２２から受取ったユーザＩＤを用いて、より正確にはそのユーザＩＤと紐付けられていた初期値を用いて、そのユーザＩＤを持つユーザ用のワンタイムパスワードを生成する。ワンタイムパスワードの生成方法自体は、第１実施形態の場合と同じで良い。ＯＴＰ生成部２２７は、生成したワンタイムパスワードを、遅滞なく最終判定部２２５に送る。ここまでの処理を、この変形例では、与信判定部２２３が仮許可情報を生成するのと同時に、或いはその後遅滞なく、少なくとも決済端末３００から決済申込情報及びワンタイムパスワードが送られてくるよりも前に終わらせる。
　最終判定部２２５は、ＯＴＰ生成部２２７から送られたワンタイムパスワードを保持する。この場合、最終判定部２２５には、各ユーザ端末１００を保持するユーザが支払いを行おうとしたことにより、ＯＴＰ生成部２２７によって生成された多数のユーザ用の多数のワンタイムパスワードが保持されることになる。

　そのような状態が生じているときに、あるユーザが、決済端末３００を通して、決済申込情報と共に、そのユーザが持つユーザ端末１００で生成したワンタイムパスワードを、決済装置２００に送信してきたとする。ユーザが、決済端末３００の管理者にワンタイムパスワードを渡す方法は第１実施形態の場合と同じとすることができる。ワンタイムパスワードは、第１実施形態の場合に説明した２種類の金券のいずれかを用いて、ユーザから決済端末３００の管理者に渡される場合がある。
　いずれにせよ、決済端末３００からネットワーク４００を介して送られ来た決済申込情報及びワンタイムパスワードは、決済装置２００の送受信部で受取られ、データ入出力部２２１を介して、主制御部２２２へと送られる。主制御部２２２は、受取った決済申込情報とワンタイムパスワードとを、最終判定部２２５へと送る。
　最終判定部２２５は、このとき、主制御部２２２から受取ったワンタイムパスワードと、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードとを保持している。最終判定部２２５は、主制御部２２２から受取ったワンタイムパスワードと、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードとを比較する。最終判定部２２５は、主制御部２２２から受取ったワンタイムパスワードが、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードの一つと一致した場合には、ユーザから、その決済申込情報及びワンタイムパスワードを送ってきた決済端末３００の管理者への支払いを認め、主制御部２２２から受取ったワンタイムパスワードが、ＯＴＰ生成部２２７から既に受取っているＯＴＰ生成部２２７が生成した多数のワンタイムパスワードのいずれとも一致しない場合には、その支払を認めない。最終判定部２２５は、ユーザ端末１００で生成されたワンタイムパスワードと、ＯＴＰ生成部２２７が生成した多数のワンタイムパスワードとを比較することになるが、あるユーザ端末１００を用いての決済の処理が開始され、仮許可情報が生成された後に、その同じユーザの支払いについての決済申込情報が決済端末３００から決済装置２００に送られてくるまでの間に決済装置２００のＯＴＰ生成部２２７で生成されるワンタイムパスワードの数は、特にユーザ端末１００で生成されたワンタイムパスワードに有効期限がある場合には、多数ではあるものの莫大な数とはならず、また、その間にＯＴＰ生成部２２７で作られる複数のユーザ用のワンタイムパスワードに同じものが生じる可能性はまずない。
　したがって、最終判定部２２５は、この変形例の方法によっても、第１実施形態の場合と同様に、正しく最終判定データを生成することができる。
　最終判定部２２５が最終判定を行うにあたり、位置情報を利用することができること、及び時刻情報を利用することができることについては、第１実施形態の場合と変わらない。
　ただし、変形例の場合には、ユーザ端末１００で生成され、決済端末３００を介して送られてきたワンタイムパスワードと、決済装置２００のＯＴＰ生成部２２７で生成された多数のワンタイムパスワードとの対比を先に行い、ＯＴＰ生成部２２７で生成された多数のワンタイムパスワードの中に、決済端末３００から送られてきたワンタイムパスワードと一致するものが存在した場合には、ＯＴＰ生成部２２７で生成された多数のワンタイムパスワードのうちの、決済端末３００から送られてきたワンタイムパスワードと一致したそのワンタイムパスワードを生成する際に用いられたユーザＩＤと紐付けられたユーザ端末１００の位置情報を、他のユーザ端末１００から送られてきた位置情報とは区別して、その最終判定に用いるユーザ端末１００側の位置情報として特定するようにすればよい。
　同様に、ＯＴＰ生成部２２７で生成された多数のワンタイムパスワードのうちの、決済端末３００から送られてきたワンタイムパスワードと一致したそのワンタイムパスワードを生成する際に用いられたユーザＩＤと紐付けられた時刻情報を、他のユーザ端末１００を用いて決済を行うために作られた仮許可情報が作られたときの時刻情報とは区別して、その最終判定に用いる時刻情報として特定するようにすればよい。
　このようにすることで、最終判定データは正しく生成することが可能となる。

≪第２実施形態≫
　第２実施形態の決済システムについて説明する。
　第２実施形態の決済システムは、概ね第１実施形態の決済システムに同じであり、その決済の処理の流れも概ね第１実施形態の場合と同じである。
　第２実施形態の決済システムも、第１実施形態の場合と同じく、そのいずれもがネットワーク４００に対して接続可能とされている、多数のユーザ端末１００、一つの決済装置２００、及び多数の決済端末３００を含んで構成されている。

　第２実施形態の決済システムの第１実施形態の決済システムと異なる点は、端的に言えば、第１実施形態の決済システムでは、ユーザは、誰に対して支払いを行うかという意思表示を決済装置２００に対して行わなかったのに対して、第２実施形態の決済システムでは、ユーザが、誰に対して支払いを行うかという意思表示を決済装置２００に対して行う、という点である。
　それを実現するために、第２実施形態の決済システムは以下のように構成されている。第２実施形態で行われる処理の流れを交えつつ、第２実施形態の決済システムの構成について説明する。

　まず、第２実施形態のユーザ端末１００について説明する。
　第２実施形態でもユーザ端末１００は、第１実施形態の場合と同様に情報処理を行う制御部１２０を有している。制御部１２０は、第１実施形態のユーザ端末１００における制御部１２０と同様のものとされているが、第２実施形態の制御部１２０には、第１実施形態の場合には存在しなかった決済端末データ記録部１２５が含まれている（図１８）。
　決済端末データ記録部１２５は、決済端末３００についてのデータを記録するものである。具体的には、決済端末データ記録部１２５には、第１実施形態における決済装置２００の位置情報記録部２２６に記録されている、図８に示したようなデータが記録されている。つまり、決済端末データ記録部１２５には、決済端末ＩＤと、各決済端末２００の位置情報とが互いに紐付けた状態で記録されている。決済端末ＩＤと、決済装置２００の位置情報の意義は、第１実施形態におけるそれらと同じである。また、決済端末データ記録部１２５に記録されている決済端末ＩＤ及び位置情報は、決済装置２００の位置情報記録部２２６に記録されているそれらと完全に一致している。ただし、決済端末データ記録部１２５には、決済端末ＩＤと各決済端末２００の位置情報とに加えて、各決済端末２００が置かれている飲食店や店舗の名称、電話番号、住所、及び飲食店や店舗をユーザが認識するのに役立つロゴ等が、それぞれの決済端末ＩＤと紐付けた状態で記録されていても構わない。

　第１実施形態の決済システムでは、ユーザがＳ９１１の決済の処理を開始した場合には、ユーザは続けて、自らのユーザ端末１００に、ユーザＩＤと、パスワードと、決済金額とを入力することになっていた。
　これに対して、第２実施形態の決済システムでは、ユーザは、自らのユーザ端末１００に、ユーザＩＤと、パスワードと、決済金額とに加えて、支払いを行う対象となる支払先を特定する情報を入力することになっている。支払先を特定する情報は事実上、その支払先となる店舗等に置かれている決済端末３００を特定する情報である。
　第２実施形態では、決済の処理が開始されると、ユーザ端末１００のディスプレイ１０１に、図１７（Ａ）に示したような画像が表示される。第１実施形態の場合と異なり、第２実施形態の場合におけるかかる画像は、ユーザＩＤと、パスワードと、決済金額との入力に加えて、支払先を特定する情報の入力をもユーザに促すものとなっている。かかる画像は、第１実施形態の場合と同様、主制御部１２１の制御下で、表示制御部１２２が生成し、表示制御部１２２がディスプレイ１０１に表示させる。
　ユーザは、第１実施形態の場合と同様に、ユーザＩＤと、パスワードと、決済金額とを入力装置１０２を用いて入力する。また、ユーザは、支払先を特定するための情報を入力する。支払先の情報は、ユーザが支払先の店舗名等を打込むことによって入力するようにすることもできるが、ユーザの負担を減らし、またユーザによる入力の誤りを減らすことを重視するのであれば、支払先の店舗等を所定の候補からユーザに選択させるようになっているのが好ましい。この実施形態では、必ずしもその限りではないがそうされている。
　ユーザが支払先の入力をしようとすると、この実施形態では、図１９に示したようなウィンドウがポップアップするようになっている。そのウィンドウの中には、★で示されたユーザの現在位置の近くに存在する、決済端末３００が置かれている店舗等の候補が、例えば、丸で囲まれた９、１９、２２の数字として、ユーザの現在地の近辺を示す地図上に表示される。９、１９、２２の丸で囲まれた数字は、これには限られないが、この実施形態では、決済端末ＩＤに等しい。また、地図の外側、この例では、地図の右側に、それぞれの店舗等の名称と電話番号が、ユーザが正しく店舗等を選択することの助けとなるようにして、地図上に示された上述の９、１９、２２の符号と紐付けられた状態で表示される。
　表示される地図の範囲の選択、及び地図上に表示されるユーザの現在位置の特定と、支払先の候補となる店舗等の選択は、ユーザ端末１００のＧＰＳ機構からデータ入出力部１２３を介して主制御部１２１に送られた、ユーザ端末１００の現在の位置を示す位置情報を用いて、主制御部１２１が決定するようになっている。この実施形態では、この時点で、ＧＰＳ機構がユーザ端末１００が存在する位置についての位置情報を生成する。また、地図の外側に表示される、店舗等に関する情報の作成も、主制御部１２１が行うようになっている。なお、主制御部１２１は、かかる処理の一部を、ネットワーク４００を介して接続された外部のクラウドに記録されたソフトウェアを利用して行っても構わない。その場合には例えば、決済端末データ記録部１２５は、ユーザ端末１００の外部に存在することもあり得る。
　具体的には、主制御部１２１は、上述の表示をディスプレイ１０１上に行うにあたって、ユーザ端末１００の現在の位置を示す位置情報に基づいて、例えばGoogle Inc.が提供しているグーグルマップ（商標）などで用いられている周知又は公知の手法でディスプレイ１０１に表示すべき地図の範囲を選択する。また主制御部１２１は、位置情報によりユーザ端末１００の現在位置を特定することが可能となり、地図上におけるその現在位置に★のマークを表示するようにする。また主制御部１２１は、ユーザ端末１００の現在の位置を示す位置情報により特定される位置から近い位置を特定する位置情報を持つ決済端末３００の決済端末ＩＤに加え、当該位置情報と紐付けられた、それら店舗等の名称、電話番号等のデータを決済端末データ記録部１２５から読み出す。それぞれの位置情報に店舗等の位置情報が示す地図上の位置に○で囲んだ決済端末ＩＤを表示することで、地図上に、ユーザがいる位置の近くにある店舗等であってユーザが支払いを行おうとする候補となりうるものを表示することができる。また、決済端末ＩＤと紐付けられたそれら店舗等の名称、電話番号等を、地図の外側に表示することができる。もちろん、表示される店舗等の候補は３つだけとは限らない。主制御部１２１はこれら情報を表示制御部１２２に送り、表示制御部１２２に、図１９に示したような画像をディスプレイ１０１に表示させる。
　ユーザは、入力装置１０２を操作して、９、１９、２２の候補の中から一つを選択し、決定と書かれたボタンをクリックする。そうすると、ポップアップされた図１９に示したウィンドウが閉じ、図１７（Ｂ）に示したように、支払先と書かれた部分の右側の枠の中に、ユーザが選択した店舗等の決済端末ＩＤと名称が自動的に書き込まれる。この例では、決済端末ＩＤが１９である決済端末３００がその店舗等に設置された「○○ＣＡＦＥ」が、ユーザが支払いを行おうとする相手側として選択された。これらディスプレイ１０１上の表示も、主制御部１２１の制御下で、表示制御部１２２が制御する。これにより、ユーザ端末１００には、ユーザＩＤと、パスワードと、決済金額と、支払先を特定する情報とが、入力された状態となる。これら４つの情報は、データ入出力部１２３から主制御部１２１に送られる。
　ユーザＩＤとパスワードと金額情報と、そして支払先を特定するための情報の入力が終わったら、ユーザは、ディスプレイ１０１に表示された「決定」と書かれたボタンをクリックする。

　「決定」と書かれたボタンをユーザがクリックすると、主制御部１２１は、ユーザＩＤとパスワードと金額情報と支払先を特定する情報に加えて、位置情報と、主制御部１２１の図示を省略された記録手段に記録された端末情報とをすべて一纏めにして、それらをデータ入出力部１２３に送る。データ入出力部１２３は、それらデータをまとめて送受信部に送り、送受信部は、それらデータをまとめてネットワーク４００を介して決済装置２００に送るようになっている。これは第１実施形態におけるＳ９１３の処理に相当する。

　決済装置２００は、第１実施形態におけるＳ９２１の処理と同様に、それらデータを受取り、第１実施形態におけるＳ９２２の処理と同様にして、与信の判定を実行する。第２実施形態における支払先を特定するための情報以外のユーザ端末１００から決済装置２００に送られた各情報の取扱いは、第１実施形態の場合と変わらない。また、与信の判定の処理には、第２実施形態ではユーザ端末１００から決済装置２００に送られる支払先を特定するための情報は用いられないため、第２実施形態の場合でも第１実施形態のときと変わらない。
　支払先を特定するための情報は、第２実施形態では、データ入出力部２２１から主制御部２２２を介して最終判定部２５５に送られる。最終判定部２５５には、最終判定部２５５が最終判定を行う際に支払先を特定するための情報が届いていれば良い。

　第１実施形態で説明した、決済装置２００で実行される、仮許可情報の生成（Ｓ９２３）及び仮許可情報の送信（Ｓ９２４）、ユーザ端末１００で実行される、仮許可情報の受信（Ｓ９１４）及びワンタイムパスワードの生成（Ｓ９１５）、決済端末３００で行われる、ユーザＩＤとワンタイムパスワードの入力（Ｓ９３１）、ユーザＩＤとワンタイムパスワードの送信（Ｓ９３２）の各処理、及び決済装置２００で行われるユーザＩＤとワンタイムパスワードの受信（Ｓ９２５）の処理は、第２実施形態でも同様に実行される。
　かかる過程において、ユーザが、決済端末３００の管理者にワンタイムパスワードを渡す方法は第１実施形態の場合と同じとすることができる。ワンタイムパスワードは、第１実施形態の場合に説明した２種類の金券のいずれかを用いて、ユーザから決済端末３００の管理者に渡される場合がある。

　次いで、第１実施形態と同様に、最終判定の実行（Ｓ９２６）がなされる。
　第１実施形態の最終判定では、ユーザ端末１００が生成し、決済端末３００から送られてきたワンタイムパスワードと、ＯＴＰ生成部２２７が生成したワンタイムパスワードとを比較してこれらが一致すること、が最終判定で決済が肯定されるための一つ目の条件となった。また、ユーザ端末１００が生成し、ユーザ端末１００から送られてきた位置情報と、位置情報記録部２２６から読み出された位置情報とを比較して、両位置情報により特定される位置が、所定の距離よりも近いこと、が最終判定で決済が肯定されるための二つ目の条件となった。そして、与信判定部２２３が生成した時刻情報により特定される時刻と、最終判定が行われた時刻とを対比し、その時間間隔が所定の時間間隔以内であること、が最終判定で決済が肯定されるための三つ目の条件となった。そして、これら３つの条件がすべて満足されたときにのみ、最終判定部２２５は、その決済を認めるという肯定的な最終判定データを生成することとしていた。
　これに対して、第２実施形態では、ユーザ端末１００が生成し、ユーザ端末１００から送られてきた決済端末ＩＤと、決済申込情報等の送信元となった決済端末３００の決済端末ＩＤとを比較して、それらが一致すること、を最終判定で決済が肯定されるための四つ目の条件とする。つまり、この実施形態では、以上４つの条件がすべて満足されたときにのみ、最終判定部２２５は、その決済を認めることになる。なお、上記条件のうち、二つ目と三つ目の条件を省略することができるのは、第１実施形態の場合と同様である。

　第２実施形態の決済システムにおいて実行される、最終判定データが生成された後の処理は、第１実施形態の場合と同様である。

Claims

　数字、文字、記号或いはそれらの羅列からなり、金銭的な価値を持つ情報である金銭情報を、紙に印刷してなる、
　金券。
　前記金銭情報の一部は、前記紙の一方の面に、前記金銭情報の残部は、前記紙の他方の面に、それぞれ印刷されている、
　請求項１記載の金券。
　数字、文字、記号或いはそれらの羅列からなり、金銭的な価値を持つ情報である金銭情報を特定するための情報である特定情報を、紙に印刷してなる、
　金券。
　前記特定情報は、前記金銭情報の一部を特定するための情報である第１特定情報と、前記金銭情報の残部を特定するための情報である第２特定情報とからなり、前記紙の一方の面に、前記第１特定情報が、前記紙の他方の面に、前記第２特定情報が、それぞれ印刷されている、
　請求項３記載の金券。
　前記特定情報は、それらを併せて前記金銭情報を特定することのできる第３特定情報と第４特定情報とからなり、前記紙の一方の面に、前記第３特定情報が、前記紙の他方の面に、前記第４特定情報が、それぞれ印刷されている、
　請求項３記載の金券。
　前記紙には、その金券を使用することが予定された者の顔が印刷されている、
　請求項１～５のいずれかに記載の金券。