金融サービスに関連するテンプレート |
銀行業 |
---|
キャッシュカード(英: cash card)は、現金自動預け払い機(ATM)を操作する際の本人確認に供する金融機関が口座開設者に発行するカード。ATMカード(ATM card)[1]、バンクカード(Bank card)ともいう。
キャッシュカードは、もとはATMを介して金融機関と預金者との間の現金の出し入れを主な目的に利用されるカードで、これが口座間の資金移動や決済手段としても利用されるようになった[1]。
決済の手段は、米国ではパーソナルチェック(個人用小切手)や1950年代に導入されたクレジットカードが普及したのに対し、日本では現金とキャッシュカードによる決済が主流という状況が続いた[1]。電算化が行われる以前、日本においては預金通帳を介した取引が行われ、預金払戻しの意思確認は届出印の捺印に拠っていた。
銀行では現金自動支払機 (CD) の導入後に、入出金機能も有する現金自動預け払い機(ATM)が開発されると顧客の利便性を高めるため普及を進めた[2]。ATMの支店外への設置増加や多機能化で、キャッシュカードは口座間の資金移動や決済手段に利用されるようになった[1][2]。その際に認証に用いる媒体として預金通帳と届出印に代えてキャッシュカードと暗証取引が登場した。
最初期のキャッシュカードはカードに鑽孔したパンチカードに近いものであった。その後、プラスチックに磁気帯をつけた磁気ストライプカード、更にICチップを搭載したICチップ内蔵カードが普及した。
一部を除く日本の銀行のキャッシュカードは、ジェイデビット (J-Debit) システムによるデビットカードとしての使用が可能であり、銀行口座の残高を以って、J-Debit加盟店での決済に利用できる。取引内容も当初の預金払戻しに加えて、預入、振込、定期預金の預入、宝くじ購入など範囲が広がっている。
キャッシュカードの規格統一はオンラインシステム化に寄与した[2]。キャッシュカードは一般的に幅85.60 mm、高さ53.98 mm、厚さ0.76 mmサイズのプラスチック製で、これはISO (ISO/IEC 7810) やJIS (JIS X 6301) によって規定されているカードサイズである。
カードには口座番号や氏名の文字がエンボス加工されて刻印されている。2010年代になると、発行する金融機関の銀行名や統一金融機関コードなどに由来する点字がエンボスされたキャッシュカードも登場するようになった。
プラスチックの本体に刻印を施し、磁気ストライプをつけて、口座番号等の情報を磁気情報で記録したもの。ATMでは、記録された磁気情報のみを用いて手続きを行う。
日本と、アメリカ合衆国を含めた諸外国とでは、キャッシュカードなど金融取引に使われる、カードの磁気エンコードの方式が異なる。
JIS X 6302では、裏面磁気ストライプカード(JIS I 型)用のエンコード方式と、おもて面磁気ストライプカード(JIS II 型)用のエンコード方式を規定している。JIS I 型用の方式はISO/IEC 7811と一致しており、クレジットカードや国際航空運送協会 (IATA) 加盟の航空会社の会員カードに採用されている。JIS II 型用の方式は、日本独自の規格であり、日本の銀行キャッシュカードに採用されている。
国内金融機関のATMで両方に対応するものは、従前は外国銀行またはゆうちょ銀行が設置するATMしか無かった。コンビニATMでは、セブン銀行ATMが両方の磁気エンコードに対応するクレジットカード及びICキャッシュカード対応し、他のATMでも徐々に対応するのが多くなってきた。
強い磁気に晒されると磁気情報が破損して使用できなくなることがある。また、後述のセキュリティーの問題から磁気ストライプのカードの発行を中止して、ICキャッシュカードに切り替える銀行もある[3]。この場合、当然ながら、磁気ストライプを前提とした各種サービスは利用できない[4][5]。
上記の磁気ストライプカードの本体に、更にICチップを搭載して機能と安全性を高めたもの。安全性を高めるため磁気ストライプを搭載せず、ICチップのみを搭載したカードも存在するが、利用上の制約[4][5]も多いため、本格的な普及には至っていない。GMOあおぞらネット銀行で標準発行されている他、2023年3月、三井住友銀行が「Olive」サービスにおいて都市銀行で初めて、「磁気ストライプ無し・ICチップのみ」のキャッシュカードを発行した(キャッシュカードとしての磁気ストライプを廃止。クレジットカードとしての磁気ストライプは残存[6])。
カード毎に異なる鍵情報をICチップ内に内蔵し、この鍵を用いてATMと暗号通信を行う機能を持つ。カード内の暗号鍵そのものが、外部とやり取りされるわけではないので、同じ情報を持つ偽造カードを作出することは困難である。ただしリバースエンジニアリング等の手法により、メモリ内の暗号鍵が直接読み出された場合(現時点では、耐タンパー機能や計算量的に出来ないとされる)や、通信内容から暗号鍵を推測された場合には複製も可能となる。物理的・電気的に、ICチップが破壊されると使用できなくなる。
日本国内用のICキャッシュカードについては、一般社団法人全国銀行協会が策定した接触型ICチップの方式を原則として採用している。
上記のICチップ内蔵カードに、生体認証に用いる情報を追加記録したものである。ATMで用いられる生体認証として、掌の静脈パターンを読み取る方法と、指の静脈パターンを読み取る方法の2種類が採用されている。
ただし、生体認証を廃止ないしは新規停止した金融機関も存在し、みずほ信託銀行に至っては、生体認証対応カード自体を使用不可とする措置を取っているほか、三菱UFJ銀行やゆうちょ銀行など、全国規模の金融機関での廃止・サービス停止に踏み切ったケースも存在する。
一般に生体認証カードは、多くの金融機関でATM引き出し限度額を高額に設定可能としている。一方で、高額設定可能なことを突かれ、特殊詐欺で多額の被害に至るケースが発生している[7]。2020年1月、横浜銀行は70歳以上の預金者に対して、生体認証カードも含めた全ての種類のキャッシュカードの引き出し限度額を一律に引き下げた[8]。
ICチップ内蔵カードには、クレジットカードとの一体型カード、利用額に応じてポイントが付くポイントサービス付きカード、電子マネー付きカードなどがある[2]。
通常、発行には申込から1週間から2週間程度(クレジットカード一体型は、クレジット部分の発行審査を含めて1ヶ月前後ないしはそれ以上)かかり、簡易書留ゆうメール等で送付される。金融機関によっては、普通預金のみのカードなど、一部のカードについては、申込のその場で受け取ることができるサービスを提供する場合もある。近年では、地方銀行や第二地銀などでも発行するケースが見られるようになってきたが、窓口に在庫のある白カードに磁気ストライプやICチップにデータを書き込んで、券面に口座番号等をプリントするエンボスレスカードが発行できるシステムを以前に比べて導入しやすくなったこと等が挙げられる。
なお、生体認証対応のICつきカードが即時発行できる場合は、その場で生体認証も同時に登録できるケースもある。このケースでは、金融機関によっては、即時発行するキャッシュカードへ生体認証を登録することにより、印鑑に代わって本人確認を行う形になっている。
代理人カードは、口座を持つ本人が申し込むことで発行され、口座からATMで入出金等のお取引を行うことができる代理人用のキャッシュカードで、例えば、夫婦で一つの口座からATMで預入・引出ができる[9]。同居親族であれば発行できる(城南信金など)、配偶者に限る(横浜銀行など)といったように、金融機関により運用は大きく異なる。
ATMは、挿入されたカード本体と、与えられる認証情報とを用いて、目前の人物が当該口座開設者か否かを確認する。盗難カードの使用、偽造カードの作成と使用、暗証番号の入手や推測などの手段を用いて第三者がATMを欺いて不正に口座取引、なかんづく預金払戻しや他口座への振込みの操作を行う事が可能である。これを防ぐためにICカード化や生体認証の導入などの対策が図られる。
磁気カードや、生体認証を用いないICカードでは、第三者が真正カードと暗証番号を入手して不正操作を行う事が可能である。
カードの盗難について、金融機関側は暗証番号の漏洩が無ければ依然、安全であるとして、生年月日等、他の情報から容易に推測される番号を避けること、また、適宜暗証番号を変更するなどの対策を呼びかけた。また、2004年秋より、ATMで1日に取引できる限度額を順次下げて、被害が大きくなるのを防ぐとした。
殊に、磁気カードでは、同一形式のカードが銀行オンラインシステム以外にも用いられる様になるとともにカードリーダ等の機器の入手も容易となり、キャッシュカードの磁気帯の情報を読み取ったり偽造カードを作成する事も困難ではなくなってきた。認証に関わる磁気情報が全て露出しているのに加えて、その情報を別のカードに記録する事も容易であることから、スキミングによる偽造カードの作出と、それを使用した不正操作が社会問題となった。
カードの盗難では、被害に気づいたら、すぐに届け出て口座やカードを凍結できるが、スキミングではカードそのものは本人の手許にあるため、通帳への記帳や利用明細をチェックするまで被害に遭った事に気づかない。
他、生体認証カードでは1日の引き出し限度額が最大で20倍程度になる点を悪用し、特殊詐欺の手段として生体認証カードを作らせて現金を騙し取る例が、東京都内で多発している[7]。
銀行ならびにコンビニに設置されているATMには監視カメラが設えられており、カードの不正使用に際しては容貌を記録に取られるリスクがある。しかし、小売店のレジ等には監視カメラが無い事が珍しくなく、記録を取られるリスクなく不正使用が可能となる。ただし、顔貌の特徴点をいかに高精度に記録できる防犯カメラが設置されていようとも、顔面の一部または全体や身体的特徴を違和感なく隠蔽する手段は複数考えられるため、一定の効果は期待できるが、いわゆるプロによる犯行を阻止、あるいは検挙の手がかりとするには充分とはいえないとする見方もできる。同時に、小売店のPOS端末等のセキュリティに関しては問題が指摘されている。
盗難カードや偽造カードを用いた不正引出しを防止するための対策がとられている。一方で、実際に発生した不正使用と、それに伴う被害の補償については、漸く対応がとられる様になってきた。
磁気カード対応のATMは、コンビニエンスストア設置のものも含めて既に多数が配置されており、ICカードへの切り替えや生体認証方式の導入には時間と費用がかかることから、下記の様な対策がとられている。
暗証番号の漏洩を防いだり、ATMの利用方法を制限するために、以下に挙げる対策が採られている。
金融機関によっては、不正支払をより抑止するために、キャッシュカードを発行せず、口座開設店において対面での手続きのみを行う預金口座を取扱開始したところもある。
磁気カードでは前述の様に同じ情報を持つカードを複製する事が容易であるが、ICカードは原理的に同じ情報を持つカードを複製することは不可能とされており、切り替えが行われている。
暗証番号による認証方式は、暗証番号の情報そのものが個人から独立しているものであり、口座開設者本人の不注意や、ソーシャルエンジニアリングによって漏洩し、第三者に渡る可能性がある。生体認証では本人の肉体の特徴に由来する情報を認証に用いる事で、第三者によるなり済ましを防止する効果が期待される。
2017年、キャッシュカードを使わずにスマートフォンとQRコードを使用してATMで入出金する、いわゆる「スマホATM」が登場し、採用する金融機関が増えている。
日本における盗難カードや偽造カードの被害については、預金者保護法施行(2006年2月10日施行)の前後で対応が大きく変わる。
金融機関は、挿入された磁気カードに記録された情報と入力された暗証番号を正規のものと認めて行った払い戻しについて、結果に責任を負わないとするカード利用規定(全銀協によるカード利用規定試案第10条第2項 (PDF) )をたてに、本来の口座開設者の重ねての預金払い出しを拒む。
しかし偽造カードによる不正引き出しが増加し社会問題化していることから、預金者保護法が制定・施行された。
預金者保護法は、不正払い戻しに対する民法第478条の適用を除外し、預金を補償する規定である。同法の下では、盗難カードや偽造カードなどで預金が不正に払い出された場合であっても、金融機関が善意かつ無過失であって、かつ預金者本人に重大な過失があることを金融機関が証明した場合を除き、預金は全額補償される。なお、預金者本人の重過失とは、暗証番号を故意に他人に教えたり、カード表面に暗証番号を記入したりした場合を指す。
但し、同法が適用されるのは個人の口座に限り、また、盗難カードや偽造カードによる被害に限定される。法人の口座や、盗難通帳による被害は対象外である。
また、盗難カードや偽造カードをデビットカードとして使用した場合も、同法の範囲外である。
米国ではクレジットカードは公正クレジット請求法(Fair Credit Billing Act)、キャッシュカードは電子資金移転法(Electronic Fund Transfer Act)に定めがあり法律が異なる[1]。電子資金移転法ではキャッシュカード亡失届け出後は預金者に責任はないが、届け出前の不正引き落としがあった場合は届け出まで期間で預金者の負担が異なる(銀行からの口座残高ステートメント郵送後60日以内に銀行に連絡しないと無限責任となる)[1]。