以下、本発明に係る情報処理装置の各実施形態について、図面を参照して説明する。以下の各実施形態では、本発明に係る情報処理装置の一例として、商品又は役務の取引における決済処理の際に用いられる決済端末装置を例示して説明する。
(第1の実施形態)
図1(A)は、第1の実施形態の決済端末装置11の正面図である。図1(B)は、図1(A)に示す決済端末装置11の側面図である。図2は、第1の実施形態の決済端末装置11における署名入力画面13の表示例を示す正面図である。図3は、第1の実施形態に係る決済端末装置11のハードウェア構成の一例を示すブロック図である。
本実施形態の決済端末装置11は、可搬型であり、例えば商品又は役務の取引における決済処理を含む各種情報処理を行う第1の情報処理部15(図3参照)と第2の情報処理部17を備える。
本実施形態の決済端末装置11は、筐体19の操作面21に第1の入力表示部(具体的には第1のタッチパネル31)を備える。第1の入力表示部(第1のタッチパネル31)が設けられた筐体19には、第1の情報処理部15が収容される。操作者に把持される筐体19の第1の情報処理部15よりも手前には、耐タンパ性を有するセキュアな第2の情報処理部17が収容される。第2の情報処理部17は、第2の入力表示部(具体的には第2のタッチパネル35)を備える。第2の入力表示部(第2のタッチパネル35)は、第1の入力表示部(第1のタッチパネル31)よりも手前の操作面21に配置される。
なお、以下の各実施形態において、「手前」とは、操作面21を鉛直線に沿う方向で起立させた筐体19の下側であり、操作面21を鉛直線に略直交する面に沿うように筐体19を把持したときの操作者に近い側を言う。したがって本実施形態の決済端末装置11は、操作面21にある第1の入力表示部(第1のタッチパネル31)とセキュアな第2の入力表示部(第2のタッチパネル35)とが鉛直線に沿う方向に並ぶように筐体19を起立させたときに、第2の入力表示部(第2のタッチパネル35)は、第1の入力表示部(第1のタッチパネル31)よりも筐体19の下側に配置される。または、本実施形態の決済端末装置11において、第1の入力表示部(第1のタッチパネル31)とセキュアな第2の入力表示部(第2のタッチパネル35)とは、決済端末装置11の筐体の重心を挟んで互いに反対側に位置する端部に偏らせて、決済端末装置11の筐体の一面である操作面21に配置される。
決済端末装置11は、可搬型であり、第1の情報処理部15と、「セキュア」な第2の情報処理部17とを含む構成である。「セキュア」とは、耐タンパ性を備えることを意味する。「タンパ」とは、情報処理装置(例えば決済端末装置11)内部のソフトウェアやハードウェアの不正な解析、改変や、情報処理装置(例えば決済端末装置11)内部の情報の不正な奪取、改変、利用不能にする攻撃を指す。したがって「耐タンパ性」とは、そのような攻撃に対する耐性を指す。耐タンパ性を有することで、例えば、決済処理において顧客の情報を保護し、取引を安全に実施できる。
決済端末装置11は、第1の情報処理部15及び第2の情報処理部17が、単一の筐体19の結合面23において互いに結合可能に構成される。なお、第1の情報処理部15及び第2の情報処理部17は、分離可能でなくてもよい。また、第1の情報処理部15は、「セキュア」に構成されても、「非セキュア」に構成されてもよい。「非セキュア」とは、耐タンパ性を備えていない、または耐タンパ性能が低いことを意味する。
決済端末装置11は、第1の入力表示部を挟んで第2の入力表示部の反対側(非セキュア側)に磁気カードリーダ部25が配置される。磁気カードリーダ部25は、スリット27を、第1の情報処理部15の前面29に備える。スリット27は、磁気カードがスライド(スワイプ)され、磁気カードの情報(磁気ストライプ)を読み取るためのパスとなる。なお、スリット27は、第1の情報処理部15に設けられず、第2の情報処理部17に設けられてもよい。
決済端末装置11は、2つの入力部及び表示部(第1の入力表示部、第2の入力表示部)、即ち2つのタッチパネル(第1のタッチパネル31、第2のタッチパネル35)を備える。具体的には、第1の情報処理部15が備える前面29には、第1の入力表示部である第1のタッチパネル31が設けられ、第2の情報処理部17が備える前面33には、第2の入力表示部である第2のタッチパネル35が設けられる。第1のタッチパネル31は、例えば非セキュアな内容としての金額情報を表示し、更に、金額の入力を受け付ける。また、第2のタッチパネル35は、例えばセキュアな内容としてのPIN入力画面を表示し、更に、PINの入力を受け付ける。
図2では、本実施形態の決済端末装置11における署名入力画面13の表示例が示されている。第1のタッチパネル31には、例えば金額情報が表示され、第2のタッチパネル35は、例えば非セキュアな内容としての署名入力画面13が表示され、更に、操作者(例えばクレジットカード取引を行った商品の購入者)の署名が入力される。
図3に示す決済端末装置11は、第1の情報処理部15及び第2の情報処理部17を備える。第1の情報処理部15は、第1のCPU37(Central Processing Unit)と、局所無線通信部39と、広域無線通信部41と、音声入出力部43と、第1の表示部45と、第1のタッチ入力検出部47とを含む構成である。また、第1の情報処理部15は、第1のフラッシュROM49(Read Only Memory)と、第1のRAM51(Random Access Memory)と、キー入力部53と、磁気カードリーダ部25と、第1の電源部55と、第1のバッテリ57と、第1のIF(Interface)部59とを含む構成である。また、第1の情報処理部15は、向き検知部61を更に備えてもよい。
第1の情報処理部15では、第1のCPU37に対して、各部が接続される。第1のCPU37は、第1の情報処理部15の全体を統括し、例えば、各種制御、処理、設定、判定、決定、確認を行う。
局所無線通信部39は、局所無線通信アンテナ63と接続され、局所無線通信路(図示略)を用いて、例えば無線LAN通信する機能を有する。局所無線通信部39は、無線LAN通信以外の通信(例えばBluetooth(登録商標)通信)を行ってもよい。
広域無線通信部41は、広域無線通信アンテナ65と接続され、図示しない広域無線通信路(例えばWAN(Wide Area Network))を介して通信する機能を有する。広域無線通信路における通信は、例えばW−CDMA(Wideband Code Division Multiple Access)、UMTS(Universal Mobile Telecommunications System)、CDMA(Code Division Multiple Access)2000、LTE(Long Term Evolution)等の移動体通信を用いて行われてもよい。
音声入出力部43は、マイク67及びスピーカ69と接続され、音声の入出力を制御する機能を有する。例えば、音声入出力部43、マイク67、スピーカ69、及び無線電話回線通信部(図示略)により、他の携帯電話や固定電話との通話が可能となる。また、スピーカ69は、例えば、ユーザ(店員又は顧客)が決済端末装置11を操作する際に、ユーザへ注意喚起する音、操作エラーを示す警告音を発することにも使用される。
第1の表示部45は、第1のタッチパネル31(図1参照)の表示を制御する機能を有する。第1のタッチ入力検出部47は、第1のタッチパネル31に対するタッチ入力を検出する機能を有する。
第1のフラッシュROM49は、各種のデータを記憶する機能を有する。記憶されるデータは、業務に関わるデータでもよいし、決済端末装置11(例えば第1の情報処理部15)を制御するためのプログラムでもよい。
第1のRAM51は、例えば、決済端末装置11(例えば第1の情報処理部15)の動作に伴う演算処理の際に、演算処理の途中において発生する処理データを、一時的に記憶するために用いられるメモリである。
キー入力部53は、例えば、図1に示す入力キー71からの入力を受け付ける機能を有する。磁気カードリーダ部25は、図1におけるスリット27の内部に配置され、磁気カードの磁気ストライプを読み取る機能を有する。
第1の電源部55は、主に第1の情報処理部15の電源であり、第1のバッテリ57から電源の供給を受けて、第1の情報処理部15の各部(例えば第1のCPU37)へ電源を供給する。第1のCPU37は、第1の電源部55を制御することにより、第1の情報処理部15を構成する一部又は全体の回路に対して、電源供給及び電源供給の停止が可能である。第1のCPU37は、第1の電源部55を制御することにより、第2の情報処理部17に対して電源供給してもよい。
第1の情報処理部15及び第2の情報処理部17は、第1のインタフェース部(以下「第1のIF部59」)及び第2のインタフェース部(以下「第2のIF部73」)を介して、互いに接続され、各種のデータやコマンドの受け渡しが行われる。第1のIF部59と第2のIF部73とは、互いに結合可能である。
第2の情報処理部17は、第2のIF部73と、第2のCPU75と、第2の表示部77と、第2のタッチ入力検出部79と、第2のフラッシュROM81と、第2のRAM83と、セキュア入力部85と、第2の電源部87とを含む構成である。なお、本実施形態において、向き検出部は第1の情報処理部15に設けられているが、その代わりに第2の情報処理部17に設けられてもよい。
第2の情報処理部17では、第2のCPU75に対して、各部が接続される。第2のCPU75は、第2の情報処理部17の全体を統括し、例えば、各種制御、処理(例えば決済処理)、設定、判定、決定、確認、認証、照合(例えば、PIN、署名、の照合)を行う。
第2の表示部77は、第2のタッチパネル35(図1参照)の表示を制御する機能を有する。第2のタッチ入力検出部79は、第2のタッチパネル35に対するタッチ入力を検出する機能を有する。
第2のフラッシュROM81は、各種のデータを記憶する機能を有する。記憶されるデータは、業務に関わるデータでもよいし、決済端末装置11(例えば第2の情報処理部17)を制御するためのプログラムでもよい。
第2のRAM83は、例えば、決済端末装置11(例えば第2の情報処理部17)の動作に伴う演算処理等の際に、演算処理の途中において発生する処理データを、一時的に記憶するために用いられるメモリである。
セキュア入力部85は、例えば、PINを入力するための物理的なキー又はソフトキーを有してもよい。セキュア入力部85には、例えば、署名が入力されてもよい。セキュア入力部85には、例えば、指又はスタイラスペンを用いて、PINが手書き入力されてもよい。
セキュア入力部85は、図1,図2において図示されていないが、例えば図1において、第2の情報処理部17の裏面に配置されてよい。第2の情報処理部17の裏面は、第2のタッチパネル35が設けられた前面29(表示面)に対して反対側に位置する面である。
第2の電源部87は、主に第2の情報処理部17の電源であり、第2のバッテリ89から電源の供給を受けて、第2の情報処理部17の各部(例えば第2のCPU75)へ電源を供給する。第2のCPU75は、第2の電源部87を制御することにより、第2の情報処理部17を構成する一部又は全体の回路に対して、電源供給及び電源供給の停止が可能である。第2のCPU75は、第2の電源部87を制御することにより、第1の情報処理部15に対して電源供給してもよい。
また、決済端末装置11は、重力に対する決済端末装置11の向きを検知する向き検知部61を備える。向き検知部61は、例えば、第1の情報処理部15及び第2の情報処理部17の少なくとも一方に設けられる。向き検知部61は、例えば加速度センサを用いて構成されても良い。図3では、向き検知部61が第1の情報処理部15に設けられることを例示している。
決済端末装置11は、「セキュア」又は「非セキュア」な第1の情報処理部15と、「セキュア」な第2の情報処理部17とが、互いに結合可能となる。決済に用いられるカードの認証情報(例えば署名、PIN情報)の入力及び表示は、「セキュア」な第2の情報処理部17が備える第2のタッチパネル35に対して行われる。従って、決済端末装置11は、決済に用いられるカードの認証情報の入力と表示が可能であり、「耐タンパ性」も確保できる。「耐タンパ性」を必要とする「セキュア」な部分は、第2の情報処理部17に局所化されたセキュアモジュール91として構成されている。
セキュアモジュール91は、耐タンパ性を有することで、非正規な手段による機密データの読み取りを防ぐ。耐タンパ性を高めるには、外部から読み取りにくいよう機密性を高める方法と、セキュアモジュール91の物理的な閉塞が破られていないか否かを検出する機構を設ける方法とがある。セキュアモジュール91は、セキュアモジュール91の物理的な閉塞が破られたことを検出すると、外部からの読み取りを困難にしてもよいし、セキュアモジュール91の内部にあるプログラムやデータを破壊してもよい。セキュアモジュール91は、これらの双方を備えることができる。外部から読み取りを困難にする方法としては、プログラム自体を暗号化し、実行時に必要な分だけ復号して実行するソフトウェアを格納することで実現される。また、外部から読み取りに対し、プログラムやデータを破壊する方法としては、セキュアモジュール91の閉塞が破られると、秘密情報を消去または所定の値で上書きして安全に書き潰す回路、或いは動作できなくなる回路など設けることで実現される。
一方、第1の情報処理部15としては、例えば、民生用に多数流通している情報端末(例えばスマートフォン、タブレット端末)が用いられてもよい。第1の情報処理部15には、例えば、汎用的なオペレーティングシステムがソフトウェア・プラットフォームとして採用される。
従って、決済用のアプリケーション・ソフトウェア(以下「決済アプリケーション」、及びその他の業務に用いられるアプリケーション・ソフトウェア(以下「業務アプリケーション」)の開発資産の再利用や流用は、容易となる。また、決済アプリケーション及びその他の業務アプリケーションは、例えば高い演算処理能力を備える第1の情報処理部15により処理されることで、ストレスなく柔軟に動作する。
決済端末装置11は、第1の情報処理部15にインストールされた決済アプリケーション(図示略)を実行させて、決済手続を開始する。決済端末装置11は、決済に関する情報(例えば、金額情報、支払方法、決済に使用されるカードブランド情報)を、決済アプリケーションへの入力により、又は決済端末装置11の外部から受け取る。
決済端末装置11は、決済に関する情報を受け取ると、例えば図1に示すように、第1のCPU37及び第1のタッチパネル31が、決済に使用されるカードの読取り操作を促す処理及び表示を行う。
決済に使用されるカードの読取り操作を促す処理及び表示は、カードの読取りが行われたことが確認されるまで行われる。カードの読取りが行われたことが確認されたら、決済端末装置11は、カードの認証手続に入る。
カードの認証方法は、例えば、決済に使用されるカードの種類、カードの情報、又は、決済端末装置11を使用する加盟店(クレジットカード取引を取扱うクレジットカード加盟店)と決済センタとの間で結ばれている契約、に基づいて決定される。
認証方法がPINによる場合、決済端末装置11は、PIN入力画面の表示を、第2の情報処理部17に配置された第2のタッチパネル35に対して行い、カードの使用者(例えばクレジットカード取引における商品の購入者)によるPINの入力完了を待つ。PIN入力画面は、PINの入力が可能な画面である。PIN入力画面の表示は、例えば、PINの入力が完了したことが確認されるまで行われる。
PINの入力が完了したことが確認されると、決済端末装置11は、入力されたPINが、決済に使用されるカードに登録されたPIN又は決済センタに登録されたPIN、と一致するか否かの照合結果が得られるのを待つ。
PINの照合は、例えば決済センタにおいて行われる。決済端末装置11は、入力されたPINを暗号化して、その暗号化されたPINを、カード情報とともに決済センタに送信する。
決済センタは、決済端末装置11から受信したPINを復号し、復号されたPINと決済センタにおいて管理されているPINとを照合する。これら2つのPINが一致し、PINとともに送信されてきたカード情報を有するカードが取引上問題無いと確認された(例えばブラックリストに載っていない)場合、決済センタは、決済端末装置11に対して与信を行う。
決済端末装置11は、決済センタからの与信を受けて、その後の決済処理としての売上処理を行い、決済センタとの通信を終了する。決済端末装置11は、その売上処理のデータの決済センタへの送信を、売上処理の完了後から決済センタとの通信を終了するまでの間に行ってもよいし、他の決済の売上処理データと併せて後ほど行ってもよい。
2つのPINが一致しない場合、決済センタは、決済端末装置11に対して与信できない旨の通知を行う。決済端末装置11は、決済センタからの通知を受けて売上処理を行わず、決済は中止される。
認証方法がPINによる場合において、PINの照合は、決済端末装置11と、その決済端末装置11に読み取られるクレジットカード(図示略)との間で行ってもよい。決済端末装置11は、入力されたPINと、クレジットカード内のチップ(図示略)に予め記録されているPINと、が一致するという照合結果が、クレジットカード内のチップから得られれば、その後の決済処理としての売上処理を行う。
決済端末装置11は、その売上処理のデータの決済センタへの送信を、売上処理の完了直後かつ決済センタとの通信を終了する前に行ってもよいし、他の決済の売上処理データと併せて後ほど行ってもよい。2つのPINが一致しないという照合結果が得られた場合には、決済端末装置11における売上処理は中止され、決済は中止される。
認証方法が署名による場合、決済端末装置11は、署名入力画面13の表示を、第2の情報処理部17に配置された第2のタッチパネル35に対して行い、カードの使用者による署名の入力完了を待つ。署名入力画面13は、例えば、図2に示す署名の入力が可能な画面である。署名入力画面13の表示は、例えば、署名の入力が完了したことが確認されるまで行われる。署名の入力が完了したことが確認されると、決済端末装置11は、決済処理を実行する。
以上の動作例は、決済端末装置11が備える第1の情報処理部15と、「セキュア」な第2の情報処理部17と、の協働により行われる。決済アプリケーションは、第1の情報処理部15において動作する。決済に関する情報(例えば、金額情報、支払方法、決済に使用されるカードブランドの情報)の表示や、決済に使用されるカードの読取り操作を促す表示は、第1の情報処理部15又は「セキュア」な第2の情報処理部17のいずれかにおいて行われてよい。
一方、PIN入力画面又は署名入力画面13の表示は、「セキュア」な第2の情報処理部17に配置された第2のタッチパネル35により行われる。PIN入力画面又は署名入力画面13の表示は、決済に使用されるカードの読取り操作を促す表示が行われ、使用されるカードの読取りが行われてから、カードの使用者によるPIN又は署名の入力が完了するまで行われる。
以上に述べたように、決済端末装置11は、顧客によって決済に用いられるカードの認証情報(例えば署名又はPIN)の入力と表示が可能であり、「耐タンパ性」も確保できる。
本実施形態に係る決済端末装置11では、セキュアな第2の情報処理部17が、第1の情報処理部15と隔絶して配置可能となる。これにより、第2の情報処理部17は、必要最小スペースでのセキュアモジュール91として集中配置が可能となる。従って、第2の情報処理部17は、耐タンパ性(セキュリティ)の確保が容易となる。また、第1のタッチパネル31とは別に、セキュア専用の第2のタッチパネル35が設けられることで、操作者は、セキュアが保証された入力領域であることを容易に認識できる。このように、決済端末装置11は、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。さらに、第2のタッチパネル35が設けられた第2の情報処理部17は、第1の情報処理部15とは異なる色(および表面処理)の筐体を備えてもよい。または、セキュア専用の第2のタッチパネル35における表示の背景色は、第1の情報処理部15に設けられた第1のタッチパネル31における表示の背景色とは異なるものであってもよい。これらによっても、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを知らしめることができる。
また、決済端末装置11では、磁気カードリーダ部25がセキュアな第2の情報処理部17から外れた第1の情報処理部15に配置される。従って、第2の情報処理部17は、必要最小スペースでの集中配置が可能となる。これにより、第2の情報処理部17において、耐タンパ性の確保が物理的に容易となる。その結果、決済端末装置11は、PINなどの認証情報をセキュアに入力するセキュリティの高さを確保しながら、磁気カード読取りスワイプ操作の使い易さも同時に実現できる。
(第2の実施形態)
図4(A)は、第2の実施形態の決済端末装置93Aの正面図である。図4(B)は、図4(A)に示した決済端末装置93Aの側面図である。なお、以下の各実施形態において、図1〜図3に示した部材・部位と同等のものには同一の符号を付して重複する説明は省略する。図5は、第2の実施形態の決済端末装置93Aの決済処理時における動作手順を詳細に説明するフローチャートである。
本実施形態の決済端末装置93Aは、例えば認証情報(例えばPIN又は署名)の入力時に、第1の情報処理部15が非セキュアモードであることを示す非セキュアLED(セキュア状態表示部)95Aを消灯させ、認証情報の入力時以外では第1の情報処理部15が非セキュアモードであることを示す非セキュアLED95Aを点灯させる。非セキュアLED95Aは、第1のタッチパネル31と第2のタッチパネル35との間の操作面21に配置される(図4(A)参照)。
次に、本実施形態の決済端末装置93Aの決済処理時における動作について、図5を参照して説明する。決済端末装置93Aは、第2の情報処理部17にインストールされた端末UI決済アプリケーション(図示略)を実行させて、決済処理の手続を開始する。図5の説明の前提として、決済端末装置93Aは、非セキュアモードの状態とする。非セキュアLED95Aは、点灯状態である。
図5において、まず、オペレーティングシステム(図示略)は、第1の情報処理部15が非セキュアモードの状態であることを示すために、非セキュアフラグを「True」に設定する(S1A)。非セキュアフラグが「True」に設定されると、第2のCPU75は、非セキュアLED95Aに、「NON SECURED」を点灯させる(図4(A)参照)。
例えば第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)は、決済金額情報及び支払方法の入力を受け付けると(S2)、カードの読取り操作を促すためのメッセージを第1のタッチパネル31に表示させる(S3)。
ICカード入出力ドライバ(図示略)は、ユーザのICカードのスリットへのスライド、挿入口への挿入又は決済端末装置93Aの前面29への近接のいずれかの操作により、ICカードを読み取るまで待機する(S4)。ICカードが読み取られると(S4、YES)、オペレーティングシステム(図示略)は、第1の情報処理部15がセキュアモードの状態に変更されたことを示すために、非セキュアフラグを「False」に変更する(S5A)。非セキュアフラグが「False」に変更されると、第2のCPU75は、非セキュアLED95Aに、ステップS1Aにおいて点灯された「NON SECURED」を消灯させる。
例えば第2の情報処理部17にインストールされたセキュア画面UIアプリケーション(具体的には、第2のCPU75)は、第2のIF部73、第1のIF部59及び第1のCPU37を介して、第1のタッチパネル31に対し、PIN情報の入力をユーザに対して促すためのメッセージと、ソフトウェアキーボードの一例としてのPINパッドとの表示を指示する(S6)。
第2のCPU75は、第2のタッチ入力検出部79を介して、第2のタッチパネル35により入力されたPIN情報を入力する(S7)。
PIN情報が第2のタッチ入力検出部79に入力されると、オペレーティングシステムは、第1の情報処理部15が非セキュアモードの状態に変更されたことを示すために、非セキュアフラグを「True」に変更する(S8A)。非セキュアフラグが「True」に変更されると、第2のCPU75は、非セキュアLED95Aに、ステップS5Aにおいて消灯された「NON SECURED」を点灯させる(図4(A)参照)。なお、非セキュアLED95Aにおける「NON SECURED」の点灯および消灯は、セキュアな第2の情報処理部17の第2のCPU75、即ち、セキュアな実行環境の下で制御される。
図5に示すPIN照合が必要な決済処理時における動作手順において、ステップS7において入力されたPIN情報は、ステップS4において読み取りを行ったICカードが復号可能な鍵によって暗号化されてもよい。ステップS7において第2のタッチパネル35により入力されたPIN情報は暗号化されてもよい。暗号化されたPIN情報(暗号化PIN情報)は、第2のCPU75に出力される。
第2のCPU75は、PIN情報又は暗号化PIN情報を、不図示の所定のドライバ(例えばICカード入出力ドライバ及びICカードリーダドライバ)を介して、ICカードに渡す。
ICカードは、第2のCPU75より得られたPIN情報又は暗号化PIN情報を復号したデータとICカードに予め登録されているPIN情報とを照合し(S9)、それらのPINの照合結果を出力する。第2のCPU75は、ICカードから出力されたPINの照合結果を、上述したICカードリーダドライバ及びICカード入出力ドライバを介して入力する。
第2のCPU75は、ステップS7において入力されたPIN情報とステップS4において読み取られたICカードに登録されたPIN情報とが一致するという照合結果がICカードから得られれば、オペレーティングシステムを介して、第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)に対して、その後の決済処理としての売上処理を指示する(S10)。
第1の情報処理部15において、端末UI決済アプリケーション(具体的には、第1のCPU37)は、ステップS7において入力されたPIN情報とステップS4において読み取られたICカードに登録されたPIN情報とが一致するという照合結果が得られれば、その後の決済処理としての売上処理を行う。売上処理後の売上処理データは、第1の情報処理部15にインストールされたセンタ接続アプリケーション(具体的には、第1のCPU37)を介して、決済センタへと送信される。なお、ステップS10に示す売上処理データの売上処理は、顧客が商品を購入した場合又は役務の提供を受けた場合に都度、実行されてもよいし、決済端末装置93Aと決済センタとの通信が所定のタイミング(例えば1週間に1回)において行われ、その際に他の売上処理データとともに一括で処理されてもよい。
一方、第2のCPU75は、ステップS9におけるPIN情報の照合の結果、両者が一致しないと判断した場合には、第2の情報処理部17にインストールされたセキュア画面UIアプリケーション(具体的には、第2のCPU75)に対し、第1のタッチパネル31に決済処理を中止する旨のメッセージの表示を実行させる(S11)。第2のCPU75は、第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)に対して売上処理を指示せず、その後の決済処理の手続は中止される。
この決済端末装置93Aでは、非セキュアLED95Aによって、非セキュア表示(例えば「NON SECURED」)が点灯または消灯される。この非セキュアLED95Aが、セキュアな第2のタッチパネル35と共に、手前に互いに隣接してまとまった位置で設けられる。このように、決済端末装置93Aは、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを、近傍に配置した非セキュアLED95Aを視認させることで、知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。
(第2の実施形態の変形例)
図4(C)は、第2の実施形態の変形例の決済端末装置93Bの正面図である。図6は、第2の実施形態の変形例(以下、「本変形例」という)の決済端末装置93Bの決済処理時における動作手順を詳細に説明するフローチャートである。決済端末装置93Bは、第2の情報処理部17にインストールされた端末UI決済アプリケーション(図示略)を実行させて、決済処理の手続を開始する。図6の説明の前提として、決済端末装置93Bは、非セキュアモードの状態とする。セキュアLED95Bは、消灯状態である。
本変形例の決済端末装置93Bは、例えば認証情報(例えばPIN又は署名)の入力時に、第1の情報処理部15がセキュアモードであることを示すセキュアLED(セキュア状態表示部)95Bを点灯させ、認証情報の入力時以外では第1の情報処理部15がセキュアモードであることを示すセキュアLED95Bを消灯させる。セキュアLED95Bは、第1のタッチパネル31と第2のタッチパネル35との間の操作面21に配置される(図4(C)参照)。
図6において、まず、オペレーティングシステム(図示略)は、第1の情報処理部15が非セキュアモードの状態であることを示すために、セキュアフラグを「False」に設定する(S1B)。セキュアフラグが「False」に設定されると、第2のCPU75は、セキュアLED95Bに、「SECURED」を消灯させる。図4(C)における「SECURED」(セキュアLED95B)は点灯状態を示しているが、ステップS1Bにおいて「SECURED」は消灯状態である。
例えば第1の情報処理部15にインストールされた端末UI決済アプリケーション(具体的には、第1のCPU37)は、決済金額情報及び支払方法の入力を受け付けると(S2)、カードの読取り操作を促すためのメッセージを第1のタッチパネル31に表示させる(S3)。
ICカード入出力ドライバ(図示略)は、ユーザのICカードのスリットへのスライド、挿入口への挿入又は決済端末装置93Bの前面29への近接のいずれかの操作により、ICカードを読み取るまで待機する(S4)。ICカードが読み取られると(S4、YES)、オペレーティングシステム(図示略)は、第1の情報処理部15がセキュアモードの状態に変更されたことを示すために、セキュアフラグを「True」に変更する(S5B)。セキュアフラグが「True」に変更されると、第2のCPU75は、セキュアLED95Bに、ステップS1Bにおいて消灯された「SECURED」を点灯させる(図4(C)参照)。
例えば第2の情報処理部17にインストールされたセキュア画面UIアプリケーション(具体的には、第2のCPU75)は、第2のIF部73、第1のIF部59及び第1のCPU37を介して、第1のタッチパネル31に対し、PIN情報の入力をユーザに対して促すためのメッセージと、ソフトウェアキーボードの一例としてのPINパッドとの表示を指示する(S6)。
第2のCPU75は、第2のタッチ入力検出部79を介して、第2のタッチパネル35により入力されたPIN情報を入力する(S7)。
PIN情報が第2のタッチ入力検出部79に入力されると、オペレーティングシステムは、第1の情報処理部15が非セキュアモードの状態に変更されたことを示すために、セキュアフラグを「False」に変更する(S8B)。セキュアフラグが「False」に変更されると、第2のCPU75は、非セキュアLED95Bに、ステップS5Bにおいて点灯された「SECURED」を消灯させる。なお、セキュアLED95Bにおける「SECURED」の点灯および消灯は、セキュアな第2の情報処理部17の第2のCPU75、即ち、セキュアな実行環境の下で制御される。
本変形例の決済端末装置93Bの決済処理時におけるステップS9以降の動作手順については、第2の実施形態の決済端末装置93Aの決済処理時におけるステップS9以降の動作手順と同様である。
この決済端末装置93Bでは、セキュアLED95Bによって、セキュア表示(「SECURED」)が点灯または消灯される。このセキュアLED95Bが、セキュアな第2のタッチパネル35と共に、手前に互いに隣接してまとまった位置で設けられる。このように、決済端末装置93Bは、第2のタッチパネル3 BR>Tが、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを、操作者の近傍に配置されたセキュアLED95Bを操作者に視認させることで、知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。
さらに、図4(A)の決済端末装置93Aまたは図4(C)の決済端末装置93Bのいずれにおいても、第2のタッチパネル35が設けられた第2の情報処理部17側の筐体は、第1の情報処理部15側の筐体とは異なる色(および表面処理)を有してもよい。具体的には、第1のタッチパネル31と、非セキュアLED95A(図4(A))またはセキュアLED95B(図4(C))との間にある破線を境に、決済端末装置93Aまたは決済端末装置93Bの筐体の色(および表面処理)が異なってよい。もしくは、セキュア専用の第2のタッチパネル35における表示の背景色は、第1のタッチパネル31における表示の背景色とは異なるものであってもよい。これらのことによっても、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを知らしめることができる。
(第3の実施形態)
図7(A)は、第3の実施形態の決済端末装置97の正面図である。図7(B)は、(A)に示す決済端末装置97の側面図である。本実施形態の決済端末装置97は、第1のタッチパネル31と第2のタッチパネル35との間に、第1の情報処理部15がセキュアモードであることを示すセキュア報知(例えば表示、点灯)を行うセキュア報知部の一例としてのセキュアLED(セキュア状態表示部)99が配置される。また、本実施形態の決済端末装置97は、第1のタッチパネル31を挟んでセキュアLED99の反対側に、第1の情報処理部15が非セキュアモードであることを示す非セキュア報知(例えば表示、点灯)を行う非セキュア報知部の一例としての非セキュアLED(セキュア状態表示部)101が配置される。
また、この決済端末装置97は、第1のタッチパネル31の第2のタッチパネル35に近接する側の表示面上に、セキュア表示領域103が表示される。セキュア表示領域103には、例えば「暗証番号を入力して下さい。」等が表示される。第1のタッチパネル31では、セキュア表示領域103以外の表示領域が、非セキュア表示領域105となる。非セキュア表示領域105は、セキュア表示領域103よりも広い面積が設定される。
図8は、表示を分割制御するハードウェア構成の一例を示すブロック図である。決済端末装置97は、図3に示す第1の情報処理部15に、第1のタッチ入力処理部107と、第1の表示生成部109とを更に含む構成であり、更に、図3に示す第2の情報処理部17に、切替部111と、第2のタッチ入力処理部113と、第2の表示生成部115と、タッチ・表示切替制御部117とを更に含む構成である。
第1のタッチ入力処理部107は、第1のタッチパネル31の非セキュア表示領域105で入力された第1のタッチ入力検出部47の入力値を取得する。第1の表示生成部109は、第1のタッチ入力検出部47で取得された入力値に基づき、第1のCPU37によって非セキュア表示領域105での表示データ(例えば「購入金額合計」)を生成する。そして、第1の表示生成部109は、第2のCPU75によってセキュア表示領域103での表示データ(例えば「暗証番号を入力して下さい。」)を生成し、操作者に対して第1のタッチ入力検出部47からPINを入力させる。
切替部111は、タッチ・表示切替制御部117からの表示領域切替の指示に応じて、第1のタッチ入力検出部47及び第1の表示部45を、第1のタッチ入力処理部107及び第1の表示生成部109、又は、第2のタッチ入力処理部113及び第2の表示生成部115に切り替えて接続する。
第2のタッチ入力処理部113は、第1のタッチパネル31のセキュア表示領域103で入力された第1のタッチ入力検出部47の入力値を取得する。第2の表示生成部115は、第1のタッチ入力検出部47で取得された入力値に基づき、第2のCPU75によってセキュア表示領域103での表示データを生成する。
タッチ・表示切替制御部117は、第2のCPU75からの指示によって切替部111に表示領域切替の指示を送る。これにより、第1のタッチパネル31は、セキュアな第2の情報処理部17におけるタッチ・表示切替制御部117によって表示制御権が常に握られる(プロンプトコントロールされる)。
この決済端末装置97では、第2のタッチパネル35とセキュアLED99が、手前に互いに隣接してまとまった位置で設けられる。第2のタッチパネル35とセキュアLED99が、第1のタッチパネル31と非セキュアLED101から位置的に分離される配置となることで、操作者は、セキュアであることが保証された入力領域であることを容易に認識でき、認証情報を安全に入力できる。
さらに、セキュア専用の第2のタッチパネル35における表示の背景色も、第1のタッチパネル31の非セキュア表示領域105における表示の背景色とは異なるものであってよい。そしてさらに、第1のタッチパネル31のセキュア表示領域103における表示の背景色と、セキュア専用の第2のタッチパネル35における表示の背景色とは、同一色または同系色であってもよい。そして、第1のタッチパネル31のセキュア表示領域103における表示の背景色は、第1のタッチパネル31の非セキュア表示領域105における表示の背景色とは異なるものであってよい。そしてさらに、第1のタッチパネル31の非セキュア表示領域105とセキュア表示領域103との間にある破線を境に、決済端末装置97の筐体の色(および表面処理)が異なってよい。そしてさらに、第1のタッチパネル31の非セキュア表示領域105とセキュア表示領域103との間にある破線部分の筐体には、境界を示すための溝または線状の凸部が設けられてもよい。これらのことによっても、第1のタッチパネル31のセキュア表示領域103および第2のタッチパネル35が、操作者に対して認証情報(PIN等)の表示または入力の安全性を保証する領域であることを知らしめることができる。
すなわち、第1のタッチパネル31と第2のタッチパネル35の間に一つの切り替え表示部95(図4参照)が存在する配置に比べ、非セキュア、セキュアの区別がより明確となる。このように、決済端末装置97は、操作者に対して認証情報の入力の安全性を保証する領域であることを知らしめ、入力された認証情報をセキュアに処理することができる。また、非セキュア、セキュアの区別がより容易となることで、第1のタッチパネル31の非セキュア表示領域105を、第2のタッチパネル35のセキュア表示領域103の広さ(長さ、幅)に比べて広く確保することが可能となる。これにより、第1のタッチパネル31において、アプリケーションからの表示の柔軟性、多様性を高めることができる。
また、この決済端末装置97では、第1のタッチパネル31の第2のタッチパネル側の表示面上に、セキュア表示領域103が表示される。具体的にこのセキュア表示領域103には、例えば「暗証番号を入力して下さい。」等が表示される。非セキュアな第1のタッチパネル31の一部分を使用して、第2のタッチパネル35がセキュアモードであることの視認性を広い表示面積によって高めることができる。なお、この場合、第1のタッチパネル31は、セキュアな第2の情報処理部17によって表示制御権が常に握られる(プロンプトコントロールされる)ように構成される。
図9(A)は、表示面上にセキュア状態表示領域119が表示される第3の実施形態の変形例に係る決済端末装置121の正面図である。図9(B)は、図9(A)に示す決済端末装置121の側面図である。決済端末装置121は、第1のタッチパネル31の第2のタッチパネル35に近接する側の表示面上に、セキュア表示領域103と、セキュアモードであることを示すセキュア表示(SECURED)又は非セキュアモードであることを示す非セキュア表示(NON SECURED)を切り替えて表示する切り替え表示領域の一例としてのセキュア状態表示領域119と、を表示する。決済端末装置121は、セキュア状態表示領域119において、セキュアモードであることを示すセキュア表示(SECURED)が表示または非表示とするか、もしくは非セキュアモードであることを示す非セキュア表示(NON SECURED)を表示または非表示としてもよい。ここで、セキュアモード時のセキュア表示(SECURED)と、セキュアモードモード時の非セキュア表示(NON SECURED)は、その少なくとも一方が必ず表示される。
この決済端末装置121では、第1のタッチパネル31の第2のタッチパネル側の表示面上に、セキュア表示領域103と、セキュア状態表示領域119と、が表示される。具体的に、セキュア表示領域103には、例えば「暗証番号を入力して下さい。」が表示される。セキュア状態表示領域119には、例えば「SECURED」が表示される。第2の情報処理部17の第2のCPU75は、第1のタッチパネル31への表示制御権を常に握る(プロンプトコントロールする)ように構成される。これにより、第1のタッチパネル31の第2のタッチパネル35に近接する側の表示面上で、セキュア又は非セキュアの表示が行われる。その結果、セキュア又は非セキュア専用の表示部(セキュアLED99、非セキュアLED101)が不要となり、セキュア又は非セキュアを表示するための構造を簡素にすることができる。
さらに、第1のタッチパネル31のセキュア表示領域103における表示の背景色は、第1のタッチパネル31の非セキュア表示領域105における表示の背景色とは異なるものであってよい。そして、セキュア専用の第2のタッチパネル35における表示の背景色も、第1のタッチパネル31の非セキュア表示領域105における表示の背景色とは異なるものであってよい。さらに、第1のタッチパネル31のセキュア表示領域103における表示の背景色と、セキュア専用の第2のタッチパネル35における表示の背景色とは、同一色または同系色であってもよい。そしてさらに、第1のタッチパネル31の非セキュア表示領域105とセキュア表示領域103との間にある破線を境に、決済端末装置97の筐体の色(および表面処理)が異なってよい。そしてさらに、第1のタッチパネル31の非セキュア表示領域105とセキュア表示領域103との間にある破線部分の筐体には、境界を示すための溝または線状の凸部が設けられてもよい。これらのことによっても、第1のタッチパネル31のセキュア表示領域103および第2のタッチパネル35が、操作者に対して認証情報(PIN等)の表示/入力の安全性を保証する領域であることを知らしめることができる。
(第4の実施形態)
図10(A)は、第3の入力表示部が設けられる第4の実施形態の決済端末装置123の正面図である。図10(B)は、図10(A)に示す決済端末装置123の側面図である。本実施形態に係る決済端末装置123は、第1のタッチパネル31と第2のタッチパネル35との間に、セキュア表示領域103を有する第3の入力表示部である第3のタッチパネル125が配置される。第3のタッチパネル125は、第3の表示部127(図3参照)と、第3のタッチ入力検出部129とを含む構成である。第3の表示部127は、第3のタッチパネル125の表示を制御する機能を有する。第3のタッチ入力検出部129は、第3のタッチパネル125に対するタッチ入力を検出する機能を有する。
この決済端末装置123では、第2のタッチパネル35と第3の入力表示部が、手前に互いに隣接してまとまった位置で設けられる。それら第2のタッチパネル35と第3の入力表示部は、非セキュアな第1のタッチパネル31から位置的に分離される配置となる。このように、決済端末装置123では、第2のタッチパネル35と第3の入力表示部が、グループ化されて、第1のタッチパネル31から分離される。これにより、第2のタッチパネル35が、操作者に対して認証情報(PIN等)の入力の安全性を保証する領域であることを、より明確に知らしめることができる。その結果、認証情報の安全な入力が可能となり、かつ入力された認証情報のセキュアな処理が実現する。また、非セキュア、セキュアの区別がより容易となることで、第1のタッチパネル31の非セキュア表示領域105を、第2のタッチパネル35のセキュア表示領域103の広さ(長さ、幅)に比べて広く確保することが可能となる。これにより、第1のタッチパネル31において、アプリケーションからの表示の柔軟性、多様性を高めることができる。
さらに、第3のタッチパネル125における表示の背景色は、第1のタッチパネル31における表示の背景色とは異なるものであってよい。そして、セキュア専用の第2のタッチパネル35における表示の背景色も、第1のタッチパネル31における表示の背景色とは異なるものであってよい。そしてさらに、第3のタッチパネル125における表示の背景色と、セキュア専用の第2のタッチパネル35における表示の背景色とは、同一色または同系色であってもよい。そしてさらに、第1のタッチパネル31と第3のタッチパネル125との間にある破線を境に、決済端末装置123の筐体の色(および表面処理)が異なってよい。そしてさらに、第1のタッチパネル31と第3のタッチパネル125との間にある破線部分の筐体には、境界を示すための溝または線状の凸部が設けられてもよい。これらのことによっても、第2のタッチパネル35および第3のタッチパネル125が、操作者に対して認証情報(PIN等)の表示/入力の安全性を保証する領域であることを知らしめることができる。
図11は、セキュアLED99と非セキュアLED101が設けられた第4の実施形態の変形例の決済端末装置131の正面図である。図11(B)は、図11(A)に示す決済端末装置131の側面図である。本変形例の決済端末装置131は、第3のタッチパネル125に加えて、さらにセキュアLED(セキュア状態表示部)99と非セキュアLED(セキュア状態表示部)101と、を備える。
この決済端末装置131によれば、第2のタッチパネル35とセキュアLED99が、手前に互いに隣接してまとまった位置で設けられる。第2のタッチパネル35とセキュアLED99が、第1のタッチパネル31と非セキュアLED101から位置的に分離される配置となることで、操作者は、セキュアであることが保証された入力領域であることを容易に認識でき、認証情報を安全に入力できる。すなわち、非セキュア、セキュアの区別がより明確となる。
さらに、第3のタッチパネル125における表示の背景色は、第1のタッチパネル31における表示の背景色とは異なるものであってよい。そして、セキュア専用の第2のタッチパネル35における表示の背景色も、第1のタッチパネル31における表示の背景色とは異なるものであってよい。そしてさらに、第3のタッチパネル125における表示の背景色と、セキュア専用の第2のタッチパネル35における表示の背景色とは、同一色または同系色であってもよい。そしてさらに、第1のタッチパネル31と第3のタッチパネル125との間にある破線を境に、決済端末装置123の筐体の色(および表面処理)が異なってよい。そしてさらに、第1のタッチパネル31と第3のタッチパネル125との間にある破線部分の筐体には、境界を示すための溝または線状の凸部が設けられてもよい。これらのことによっても、第2のタッチパネル35および第3のタッチパネル125が、操作者に対して認証情報(PIN等)の表示/入力の安全性を保証する領域であることを知らしめることができる。
本発明に係る情報処理装置である決済端末装置は、上記した各実施形態で述べた構成の他、以下の特有の構成を有する。すなわち、決済端末装置は、非接触型ICカードリーダライタ部133のリード・ライト制御部を、セキュア側となる第2の情報処理部17に備える。
非接触型ICカードリーダライタ部133(図3参照)のリード・ライト制御部をセキュア側に設けた決済端末装置によれば、情報セキュリティを担保できる。
また、決済端末装置は、非接触型ICカードリーダライタ部133のループアンテナ135を、非セキュア側となる第1の情報処理部15に備える。
非接触型ICカードリーダライタ部133のループアンテナ135を第1の情報処理部15に設けた決済端末装置によれば、第1のタッチパネル31の重なる広い面積を確保できる。
また、決済端末装置は、セキュア入出力部筐体表面と、非セキュア入出力部筐体表面との色を異ならせることができる。
セキュア入出力部筐体表面と非セキュア入出力部筐体表面との色を異ならせた決済端末装置によれば、ユーザの錯誤が生じにくくなり、安心した認証処理、決済処理等を実行できる。
また、決済端末装置は、セキュア表示領域103の背景色を、非セキュア表示領域105の背景色と異ならせることができる。
セキュア表示領域103の背景色を非セキュア表示領域105の背景色と異ならせた決済端末装置によれば、ユーザの錯誤が生じにくくなり、安心した認証処理、決済処理等を実行できる。
従って、上記の各実施形態に係る情報処理装置によれば、セキュアな部分と非セキュアな部分とが共存する場合であっても、認証情報のセキュリティを確保できるとともに、操作者に錯誤や誤操作を誘発させることがない。
以上、図面を参照して各種の実施形態について説明したが、本開示はかかる例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本開示の技術的範囲に属するものと了解される。