Embed Size (px)
Citation preview
技術本部 セキュリティセンター
生体認証導入・運用の手引き
生体認証利用における注意点と利用事例
2013 年 1 月
初めに
生体認証は、指や手のひらなどの体の一部や動作の癖などを利用して本人確認
や識別などを行うメカニズムです。このため、パスワードや暗証番号のように
忘れてしまったり、IC カードや鍵などのように無くしてしまったりすることが
なく、利便性の高いものとなっています。
このような利便性のため、各企業の社内管理だけでなく、金融機関や遊園地、
病院、学校など様々なところで生体認証の利用が進んでいます。また、生体認
証を利用することで、これまでにない新しい利用方法が可能になり、更に便利
になってきています。
しかし、生体認証を便利に利用するためには、システムの設計時だけでなく、
運用時においてもいくつか考慮すべき点があります。
本書は、生体認証システムの導入を検討している企業などの情報システム担当
者を対象に、その導入・運用の手引きを示すものです。併せて生体認証システ
ムの導入・運用事例も示しており、実際の利用シーンやシステム設計・管理な
どの実例をイメージしやすいようにしています。
本書を参考にして、より一層安全で便利な生体認証の導入に繋がれば幸いです。
内容
1 生体認証の概要 ............................................................................................................... 1
1.1 生体認証(バイオメトリクス)とは ................................................................... 1
1.2 生体認証の導入のメリット .................................................................................. 1
1.3 生体認証による認証技術の概要 ........................................................................... 2
1.4 生体認証による認証技術の種類 ........................................................................... 4
1.5 ホワイトリスト/ブラックリスト方式 .............................................................. 10
2 生体認証システム構築と運用の留意点 .......................................................................... 11
2.1 構築フェーズに係る事項 ..................................................................................... 11
2.2 運用フェーズに係る事項 .................................................................................... 17
3 生体認証システム導入・運用事例 ................................................................................ 19
3.1 佐賀県庁 ............................................................................................................. 22
3.2 SBI損保 ............................................................................................................. 26
3.3 東陽倉庫 ............................................................................................................. 29
3.4 明和地所 ............................................................................................................. 32
3.5 三井住友銀行 ...................................................................................................... 34
3.6 福岡メンテック .................................................................................................. 37
3.7 福岡県豊前市役所 ............................................................................................... 40
3.8 パナソニックESネットワークス ..................................................................... 42
3.9 東海地区信金共同事務センター ......................................................................... 45
3.10 多久市教育委員会 ............................................................................................... 48
3.11 嬉野医療センター ............................................................................................... 51
3.12 大熊本証券 ......................................................................................................... 55
3.13 パワーリハ ......................................................................................................... 57
3.14 大垣共立銀行 ...................................................................................................... 60
1
1 生体認証の概要
1.1 生体認証(バイオメトリクス)とは
生体認証とは、人の生体的な特徴・特性を用いて行う本人認証方式である。生体的な
特徴・特性を総称して生体情報と呼ぶ。生体情報には、指紋や顔など身体の形状に基
づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴がある。身体的特徴
は、常に本人の肉体に付随している。行動的特徴は、本人の癖であり、本人であれば
再現が可能なものである。
したがって、生体認証では、パスワードなどの記憶に基づく認証における「忘れる」、
「他人に知られて、悪用される」といった問題や、カードなどの所持に基づく認証に
おける「紛失」、「盗難」、「置き忘れ」の問題を回避できることが多いと言われている
(ただし、IC カードとの組み合わせにより生体認証を行う場合もあり、全てのシステ
ムが該当するわけではない)。
1.2 生体認証の導入のメリット
生体認証の導入は、以下のメリットをもたらす。
① 利便性の高い本人確認方法を提供できること
生体認証は、個人の身体的特徴や行動的特徴に基づいて行われるため、本人確認
時に利用者自身が IC カードの準備やパスワードを思い出すなどを行う必要が無
く、これらの紛失や忘却がないため、利用者にとって利便性の高い本人確認方法
である。また、運用においても、パスワードや IC カードの再発行といった手間
を削減できる。
② システムごとに本人確認の精度を調整できること
生体認証は、予め保管されている生体情報とセンサから入力された入力データと
を照合することにより本人確認を行う。この際、あらかじめ運用者が入力データ
と保管データの類似判定を調整することにより、システム全体の目的に合致した
安全性と利便性を調整することが可能である。
2
1.3 生体認証による認証技術の概要
(1) 生体認証の仕組み
生体認証においては、入力特徴データと登録特徴データを照合してスコアを算出し、
類似度が高い場合に本人と一致するとの判定を行う。ここで、入力特徴データは、湿
度や気温等環境条件により異なるため、登録特徴データと完全に一致することはない。
そのため、入力特徴データと登録特徴データとの類似度のスコア計算結果は、あら
かじめ設定された閾値(判定値)と比較され、本人との一致/不一致が判定される。
生体認証の処理の流れは、図 1-1 の通りである。
図 1-1 生体認証の処理の流れ
(2) 閾値、本人拒否率及び他人受入率
生体認証において、どのように閾値を定めても、誤って他人を受け入れる可能性を
無くし、かつ誤って本人を拒否する可能性を無くすことはできない。生体認証におい
ては、システムの目的に応じて、セキュリティと利便性の兼ね合いで適切な閾値の設
定を行う必要がある。
誤って本人を拒否する確率を、本人拒否率:FRR(False Rejection Rate)と呼び、誤
って他人を受け入れる確率を、他人受入率:FAR(False Acceptance Rate)と呼ぶ。
生体情報の入力
特徴抽出
登録データベース 登録特徴データ
照合(類似度の計算)
一致/不一致の判定
登録
生体情報
認証
登録特徴データ 入力特徴データ
登録時に行う処理
認証時に行う処理
生体情報の入力
特徴抽出
3
(3) 利便性と安全性のトレードオフ
一般に、本人拒否率を低く抑えようとすれば、他人受入率は高くなる。逆に、他人
受入率を低く抑えようとすれば、本人拒否率は高くなる。そして、本人拒否率が高く
他人受入率が低い場合、安全性を重視した認証であり、本人拒否率は低く他人受入率
が高い場合、利便性を重視した認証であるといえる(図 1-2 参照)。
図 1-2 閾値を変化させた際の本人拒否率および他人受入率と、安全性および利便性の関
係
(4) 未対応率
生体認証では、一部の人にとって利用できないケースが存在する。例えば指紋認証
では、職業がら指紋が薄く、装置で認識しにくい人などがこれに当たる。
このように、生体認証の装置あるいは生体認証のアルゴリズムが生体情報を認識で
きない割合を、未対応率と呼ぶ。
カタログなどでは、生体認証装置で認識しやすい被験者で精度評価を行っている場
合もある。このため、生体認証システムの導入を検討する際には、対応できない生体
情報と未対応率を確認することが望ましい。
本人拒否率(%)
他人受入率(%)
安全性重視
利便性重視
本人拒否率(%)
他人受入率(%)
安全性重視
利便性重視
4
1.4 生体認証による認証技術の種類
(1) 指紋認証
(a) 概要
指紋は皮膚が線状に隆起した隆線(りゅうせん)が多数集まったものである(図
1-3 参照)。
オンラインマガジン「COMZINE」2004 年 3 月号
(http://www.nttcom.co.jp/comzine/no010/dragnet/)に一部加筆
図 1-3 指紋の隆線、分岐点、端点
指紋認証の方法は、指紋特徴点(マニューシャ)と呼ばれる隆線の分岐や終端
部分の位置・種類・方向等を計算する方式(マニューシャ方式)と、指紋全体を
データ化しパターンマッチングする方式(パターンマッチング方式)に分けるこ
とができる。
(b) 特徴
指紋認証の特徴は、以下に整理できる。
技術の成熟度が高い
水分や傷等に左右されることがある
導入コストが安い
指紋登録の困難な人が居る場合がある
5
(2) 静脈認証
(a) 概要
静脈や動脈などの血管のパターンは、唯一性と永続性を有する。さらには、体
の中の情報であるため、体の外からの覗き見されること、外的要因により変化す
ることが少ないと考えられている。
静脈認証には、手のひら静脈認証、手の甲の静脈認証、指の静脈認証があり、
金融機関では、手のひら静脈認証と指の静脈認証の導入が進んでいる。
静脈認証の方式は、赤外線カメラにより手のひらや指を撮影し、その結果から
静脈のパターン(図 1-4 参照)を抽出する。抽出後の静脈のパターンのデータの
取り扱い方法は、指紋認証と同様に、マニューシャ方式またパターンマッチング
方式に分けることができる。
(a) 一般のカメラで撮影した
画像
(b) 赤外線カメラで撮影した
画像
(c) 手のひらの輪郭および
抽出した静脈パターン
図 1-4 手のひらの静脈パターン
(b) 特徴
静脈認証の特徴は以下に整理できる。
偽造が困難である
導入コストが高い
登録不可能な人が少ない
認証精度が高い
6
(3) 虹彩認証
(a) 概要
眼球の黒目部分には、瞳孔の拡大や縮小のための筋肉から成る虹彩(アイリス)
(図 1-5 参照)と呼ばれる環状の部分がある。筋肉には細かい皺があり、この皺
は人が 2 歳を迎える頃からほとんど変化しないことが知られている。虹彩認証は、
この皺のパターンをカメラで撮影することにより認証を行うものである。コンピ
ュータで虹彩のパターンを抽出して認証する。
社団法人自動認識システム協会 JAISA
(http://www.jaisa.or.jp/action/group/bio/Technologies/Iris/Irs-00.htm)図1より引用
図 1-5 虹彩(アイリス)
(b) 特徴
虹彩認証の特徴は、以下に整理できる。
他人受入率が低い
偽造が困難である
導入コストが高い
7
(4) 顔認証
(a) 概要
顔認証では、顔の形や目鼻などの位置関係を示す特徴的な点や輪郭線等を画像
認識技術により抽出し(図 1-6 参照)、特徴点間の距離や角度、輪郭線の曲率等
や、顔表面の色や濃淡等の特徴量により顔を識別する。
平成 16 年度標準技術集「バイオメトリック照合の入力・認識」5-1-1-3-2 顔特
徴点検出(http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijutsu/biometric/5-1-1.pdf)よ
り引用
図 1-6 顔認証に用いる特徴点(例)
(b) 特徴
顔認証の特徴は、以下に整理できる。
一般の利用者の登録時および認証時の負荷が少ない
角度により、本人を拒否する場合がある
数年で再登録が必要となる
8
(5) 音声認証
(a) 概要
音声認証は、音声信号を時間と周波数の分布で表したサウンドスペクトログラ
ムあるいはこれと等価な情報を持ったパターンに変換し,そのパターンの比較に
より、個人の照合を行う技術である(参照)。
Copyright (C) ANIMO LIMITED 2007
図 1-7 音声認証の個人パターン
(b) 特徴
音声認証の特徴は、以下に整理できる。
マイクとソフトウェアの導入によりシステムを構築できるため、安価であ
る
健康状態等により音声の波形が変化するため、その際には本人拒否や他人
受入の可能性が高まる
雑音により、本人拒否率が高まる場合がある
9
(6) サイン認証
(a) 概要
サイン認証とは、タブレットなどの座標入力装置上に筆記されたサインに関し
て、ペン先の座標、筆庄等を一定時間間隔で収集して入力情報を獲得し、あらか
じめ登録されている登録情報と照合することにより、本人を確認する技術である
(図 1-8 参照)。
ウィッツェル株式会社ホームページ
(http://www.witswell.co.jp/cybersign/wm/syogo.htm)より引用
図 1-8 サイン認証に用いるペンの位置と筆圧の変化
(b) 特徴
登録情報は、本人の意思により文字を変えることで別の登録情報に置換で
きる
けが等により本人が署名不可能となる場合がある
他人のなりすましに関しては、他の生体認証より比較的容易である
10
1.5 ホワイトリスト/ブラックリスト方式
生体認証システムは、センサから入力した生体情報が、システム内部に保管されてい
る生体情報と一致するか否かを判定する。判定は 2 種類に大別される。一方はカード
やキー操作で、一致を判定する人物が一人指定される場合であり、照合(1:1 認証)と
呼ばれる。もう一方は、一致を判定する人物がリストとして複数指定される場合であ
り、識別(1:N 認証)と呼ばれる。
識別の処理は、さらに、リストに登録されている人物の種類の違いにより二つの方式
に分かれる。権限を与えてよい人が登録されているホワイトリスト方式と、権限を与
えてはいけない人が登録されているブラックリスト方式である。
システム管理者は、システムが実現するアプリケーションに応じてホワイトリスト方
式とブラックリスト方式を適切に選択することが望ましい。
(1) ホワイトリスト方式
システム内部に保管されているデータベースに登録された生体情報と一致する生体
情報を持つ人に権限を与える方式である。あらかじめ登録を済ませた人にしか権限を
与えることができないので、限られた人にのみ権限を与えるシステムに適している。
登録人数が多くなるとシステム内部のデータベースに保管される生体情報が増える
ため、登録されていない人の生体情報が、登録されている人の生体情報と偶然に一致
してしまう確率も増える。そのため、安全性を確保するためには、登録人数が多くな
っても他人受入率が増大しないように技術的な配慮が必要である。
(2) ブラックリスト方式
システム内部に保管されているデータベースに登録された生体情報と一致する生体
情報を持つ人には権限を与えない方式である。権限を与えたくない人の生体情報のみ
登録すればよいので、権限を与えたい人が不特定大規模であらかじめ生体情報を登録
できないシステムに適している。
判定のために入力された生体情報がデータベースに登録されている生体情報と一致
しない場合は、すべて権限が与えられるので、安全性を確保するためには、本人拒否
率を低く維持するように技術的な配慮が必要である。
11
2 生体認証システム構築と運用の留意点
本章は、生体認証システムの構築に係わるシステム管理者およびシステムイン
テグレータを対象とする。内容は、システム構築に係わる基本知識および個別
対策と、システム運用に係わる基本知識および個別対策から成る。
2.1 構築フェーズに係る事項
(1) システムの目的の明確化と認証精度の設定方針の策定
設計を始める際には、生体認証を利用したシステムの目的と生体認証の使い方を明
らかにし、認証精度の設定方針を策定することが必要である。
例えば、データセンターのサーバルーム等における機密性の確保が優先される入退
室管理システムにおいては、一般に、入退室の手続きが複雑になっても、なりすまし
を防止することが重要となる。逆に、企業における勤怠管理システムの場合、本人確
認を迅速かつ確実に行うことが重要となる。
このように、生体認証を利用するシステムの目的を明確にすることで、認証精度の
設定方針が決まる。本誌で取り上げている例では、以下のように、目的に応じた認証
精度とした設定例を示しているので、参考とされたい。
表 2-1 生体認証システムの認証精度設定例
事業者 生体認証の目的 認証精度 参照
佐賀県庁 PC ログインおよび庁内ポ
ータルへのログイン
(シングルサインオン)
他人受入率を低
く設定
3.1 節
(pp.23~29)
SBI 損害保険株式会社 執務室内への入退室管理 他人受入率を低
く設定
3.2 節
(pp.26~28)
東陽倉庫株式会社 重要文書を保管する倉庫
への入退室管理
他人受入率を低
く設定
3.3 節
(pp.29~31)
株式会社三井住友銀行 ATM による生体認証によ
る安全なキャッシュカー
ドサービス
他人受入率を低
く設定
3.5 節
(pp.34~36)
株式会社ジェイアール
西日本福岡メンテック
従業員の勤怠管理 本人拒否率を低
く設定
3.6 節
(pp.37~39)
12
事業者 生体認証の目的 認証精度 参照
社団法人
東海地区信用金庫協会
東海地区信金共同
事務センター
共同事務センター内の
各部屋への入退室管理
他人受入率を低
く設定
3.9 節
(pp.45~47)
多久市教育委員会 小中学校の PC 教室におけ
る児童生徒の PC ログイン
本人拒否率を低
く設定
3.10 節
(pp.48~50)
独立行政法人
国立病院機構
嬉野医療センター
院内電子カルテシステム
へのログイン
他人受入率を低
く設定
3.11 節
(pp.51~54)
(2) 生体認証装置の選定
生体認証には様々な種類があるが(1.4 節参照)、その性能は認証装置ごとに異なる。
そのため、生体認証システムを導入する際には、システムの目的に照らし適切な認証
装置を選択する必要がある。この際、以下の点を含めて検討することが望ましい。
1) システムの目的
2) 利用方法
3) 認証精度
4) 認証に要する時間
5) 認証装置の大きさ
6) 生体認証装置の設置台数と1台あたりの価格
7) ランニングコスト
8) 機器又はデバイスのサポート期間
9) サポート体制
(3) 認証精度の確保
生体認証において、認証精度は様々な条件により変化する。認証の対象とする生体
情報により違いはあるが、主に屋内での利用を想定する場合には、以下の事項に関し
て、生体認証製品毎に条件を確認する。
1) 登録可能人数
2) 生体情報の利用可能年数
3) 被認証者による設定変更の可否
4) 照明による影響(照明により認証精度が影響を受けるか)
13
屋外での利用を想定する場合には、1)~4)に加えて、以下の事項に関しても製品ご
とに条件を確認する。
5) 屋外での稼動の可否
6) 耐水性
7) 温度
8) 湿度
(4) 生体情報の保管
生体情報は機微情報であるため、その管理には十分な配慮を行う。
生体情報を保管する方法として、サーバ内、生体認証装置内、ユーザ管理デバイス
(例えば、IC カードなど)などがある。それぞれのメリット・デメリットを以下に
示す。
表 2-2 生体情報の保管場所に係るメリット・デメリット
メリット デメリット
組織内サーバ 特定の管理者が多数の生
体情報とその利用状況を
一括管理でき、責任の所在
が明確になる
一度に多数の生体情報が
漏えいするリスクがある
サーバルームの設置等費
用が発生する
外部サーバ 社内の管理体制を極小化
できる
特定の管理者が多数の生
体情報とその利用状況を
一括管理でき、責任の所在
が明確になる
一度に多数の生体情報が
漏えいするリスクがある
外部サーバの管理・運用が
適切に行われていること
の実態を確認することが
困難である
生体認証装置内 ローカルで入退室管理等
が可能
一度に多数の生体情報が
漏えいするリスクは低い
製品によって記憶できる
生体情報の数が異なる
複数の装置を設置した場
合、それぞれの装置に対し
て個別に生体情報の登録
を行わなくてはならない。
ユーザ管理デバイス内
(例えば、IC カード)
一度に多数の生体情報が
漏えいするリスクは低い
生体情報の管理責任が利
用者と管理者の間で不明
確になる
生体認証の利用のために、
ユーザがデバイスを持た
なくてはならない。
14
また、生体情報の管理のために以下の機能を設定する。
1) 管理者を特定するための認証機能
2) 管理者のアクセスコントロールと権限設定
3) 生体情報の暗号化保存機能
(5) サーバルームの設置
生体情報をサーバで保管する場合、サーバルームの設置可否について検討を行う必
要がある。
サーバルームの設置可否については、以下の点を踏まえ検討を行う。
① 利用者の規模
多数の利用者が想定される場合には、生体情報の漏えいのリスクを低減す
るためにサーバルームを設置する。
中規模程度で利便性重視のシステムで、漏えい時のリスクが低いと考えら
れる場合には、管理者がいる部屋にサーバを設置するなどしてもよく、必
ずしもサーバルームを設置する必要があるわけではない。
ただし、少人数の利用者しか想定されない場合でも、生体認証の利用目的
を考慮し、安全性を重視する場合にはサーバルームを設置する。
② 生体情報漏えい時の訴訟等のリスク
一般のサービス利用者など、利用者の中に組織の外部の人が含まれる場合、
万が一生体情報が漏えいした場合には、訴訟に発展するリスクがあるため、
可能であればサーバルームを設置する必要がある。
サーバルームを設置する場合、停電対策のため無停電電源、可能であれば発電機を
備えるようにすることが望ましく、外部のデータセンターなどの利用も検討する。
(6) 登録・再登録の設計
生体認証システムを利用していく上で、生体情報の登録・再登録は重要なプロセス
である。生体情報の登録・再登録をどのように行うかの設計に関しては、以下の点に
ついて検討を行うことが望ましい。
(a) 登録・再登録の方法
生体情報の登録・再登録の方法として以下の2つの方法が考えられる。
1) 登録・再登録を行う利用者に対して、管理者などが付き添いながら行う方法
少数の利用者に対して定期的に登録・再登録が発生することが想定される
場合に向いている。管理者が指導しながら登録・再登録を行うことで、以
後、利用者が生体認証装置を適切に利用できるようになる。また、管理者
が本人確認を行いながら登録・再登録のプロセスを行うことができる。
一方で、頻繁に登録・再登録を行うような場合には、特別な体制や仕組み
を整える必要がある。
15
2) 登録・再登録を行う利用者が自身で登録・再登録を行う方法
利用者が多人数のため頻繁な登録・再登録の発生が想定される場合に向い
ている。この方法は、登録・再登録にかかるコストが低く抑えられ、認証
システムの運用を簡易にできるメリットがある。
この方法を採用する場合には、初回登録時はワンタイムパスワード等を発
行する、再登録の際は現在登録されている生体情報を用いるなどの方法で、
登録・再登録時の本人確認を実施する必要がある。
(b) 登録・再登録の工夫
生体認証システムの高い可用性を確保するために、以下の機能について検討を
行うことが望ましい。
1) 複数の生体情報の登録・再登録
例えば異なる2本以上の指を登録するなどしておくことにより、1つの指
で認証失敗が頻発する場合や、怪我等で一時的に利用できなくなった時で
も、もう一つの指でスムーズに認証を行える可能性が高くなる。
2) 学習機能の追加
認証成功時の生体情報等を登録されている生体情報と取り換えるなどの簡
単なものから、照合を行う際のパラメータの調整を機械学習でチューニン
グするなどの学習機能により、スムーズに認証を行えるようになる。
(7) 生体認証の代替機能
以下のようなケースが想定される場合には、生体認証の代替機能の検討を行う。
① 生体認証が利用しにくい利用者が想定される場合
② 生体認証以外の認証方法も利用者が選択できるようにする場合
生体認証の代替機能を提供する場合、暗証番号、ID/PW、IC カードの各認証方式等
が挙げられる。どれを選択するかについては、以下の点に留意して決定する。
1) 代替機能の実現手段の選択(生体認証では対応できない個人にも対応できる
ことが必要である)
2) 代替機能の設定時における認証精度の変化(一般に、代替機能を設定した場
合でも、生体認証装置を用いた場合と同等の認証精度を実現することが望ま
しい)
16
(8) 他の認証方式との組合せ
生体認証に加えて他の認証方式と組み合わせて利用することを検討する場合(例え
ば、異なる生体認証の組合せ、ID/PW や IC カードとの組合せなど)、以下の点を考
慮して検討する。
1) 組み合わせる方式にかかる費用・運用コスト
2) 組み合わせる方式のベンダのサポート体制
特に、異なる生体認証方式を組み合わせる場合や IC カードと組み合わせる場合に
は、予定しているシステム利用期間において、各機器・システムのベンダのサポート
が可能であることを確認する必要がある。
(9) 生体認証装置の設置
生体認証装置を設置する場所について、期待される認証精度の確保と利用者の利便
性を実現するために利用する生体認証の種類に応じて以下の点を考慮して検討する。
1) 照明や直射日光などの影響を受けにくい場所
2) 利用者の身長差(特に男女の差)
17
2.2 運用フェーズに係る事項
(1) 実運用における検証
システムの運用に際しては、期待される認証精度が実システムで実現できているか
の検証(テスト)を導入前に実施する。導入後は、認証ログの解析を定期的に行うな
どして、期待される認証精度が実現されているかを確認する
(2) 管理手順の策定
生体認証システムを構築するベンダ等の協力を得て管理手順を策定し、管理者運用
マニュアルを用意すると共に、管理者の教育を行う。管理者運用マニュアルには、運
用等に際しての留意事項として以下の項目を記載する。
1) 生体情報を含む個人情報の登録の手順
管理者がなすべきこと(対面や必要書類による本人確認の方法を含む)
利用者にお願いすること
2) 生体情報を含む個人情報の参照のための手順
参照可能とする範囲と要件
参照のための手続きと手順
3) 生体情報を含む個人情報の変更のための手順
変更する場合の要件
変更のための手続きと手順
4) 生体情報を含む個人情報の消去のための手順
消去の際の要件
消去のための手続きと手順
5) システム構成変更の手順
システム構成変更の要件
システム構成変更の手続きと手順
6) 定期的な認証ログの確認
認証ログの確認手順、分析方法、確認間隔
エラーや警告が発生していた場合の対処方法
期待される認証精度が実現されてなかった場合の対処方法
7) その他運用に際しての留意事項
生体認証失敗時(本人拒否時)における代替手段
事故発生時(他人受入の発覚時、システム故障時等)における対応方
法
(3) システムの設定や変更の作業自体のセキュリティ
システムの設定や変更を行う際には、セキュリティに配慮することが必要であり、
以下の事項に留意する。
18
1) システムの設定変更を行うことが可能な端末を限定して管理者のみが設定
を行えるようにすること
2) 管理者の認証には、目的に応じて適切な手段を用いること
認証方法として、生体認証、IC カード認証、ID/PW 認証などが挙げ
られる
(4) 利用者の教育
利用者が生体認証システムを利用する前に、利用者の教育を行う。以下の項目を含
むものとし、実運用環境で行うことを重視する。また、利用者が多数となる場合には、
講習の実施、ビデオやパンフレットの作成・配付などが効果的である。
1) 生体情報の登録方法
2) 生体認証の利用方法
3) 生体認証失敗時(本人拒否時)の対応方法
(5) 監査
システムの目的として安全性を重視し、生体認証システムの導入を行っている場合、
定期的にシステム監査を実施することが望ましい。この際、組織で採用している情報
システム全体のシステム監査の一部に含めて実施してもよい。
生体認証システムに関する監査のポイントは、以下である。
1) システムの目的と管理者運用マニュアルの記載事項の対比
2) 管理者運用マニュアルと実際の運用の対比
3) 異動等に伴う利用者ごとのアクセス権限の整理
4) 他人受入れの発生率
(6) サポート体制の構築
生体認証システムの利用者が、一般職員などを対象として多数となる場合には、機
器の故障や認証に失敗するケースなど様々なトラブルに迅速に対応できるサポート
体制を構築する。例えば、ヘルプデスクの設置、問い合わせ窓口(管理者への連絡先
など)の明示などが挙げられる。
(7) 認証精度を確保するための外部環境の工夫
生体認証システムを運用している中で、期待される認証精度を実現できていないこ
とが、検証におけるログの解析などで確認された場合、生体認証装置周辺の環境を調
整することを試みる。
例えば、以下のような方法が挙げられる。
・照明の向きを変えて、生体認証装置に直接光が当たらないようにする
19
・カーテンやブラインド等を窓に設置して、直射日光を遮る
3 生体認証システム導入・運用事例
本章に収録した実例は、国内に導入、運用されている事例のうち、できるだけ
多くの適用種別、および、使用する生体部位の種類を含み、かつ、異なるユー
ザ規模を含むように選択した。何れも、生体認証を導入、運用した組織・団体
にヒアリング等を行い、システムの概要や運用状況、そして、ユーザやシステ
ム管理に配慮した点等を確認した。
表 3-1 生体認証導入・運用事例一覧
適用種別 生体識別部位
(モダリティ)
組織名 システム概要 ユーザ
規模
PC ログイン 指紋 佐賀県庁
県内関係機関を結ぶネットワーク
を充実させ、職員一人に一台の PC
を配備。各 PC から庁内電子システ
ムにログインする際、利用者確認の
ために指紋認証を導入。
大
入退室管理
(オフィス)
虹彩
指静脈
SBI 損害保険
株式会社
ヘッドオフィスのオフィス、会議
室、サーバルームなど、オフィスの
あらゆる場所への入室に虹彩認証
を導入。サテライトオフィスには指
静脈認証を導入。
小
入退室管理
(セキュリ
ティエリア)
手のひら静脈 東陽倉庫
株式会社
機密文書、重要文書を保管する倉庫
の入退室管理に手のひら静脈認証
を導入。IC カードとの併用、専用
LANを用いたネットワーク構成等、
頑強なセキュリティを構築。
小
入退室管理
(マンショ
ン)
指紋
手のひら静脈
音声
明和地所
株式会社
マンションの共用玄関やエレベー
タホールでの入居者確認に生体認
証を導入。導入された生体認証は、
指紋認証、手のひら静脈認証、音声
認証。
中
金融
サービス 指静脈
株式会社
三井住友銀行
ATM(Automatic Teller Machine)
の取引の利用者確認に指静脈認証
を展開。生体認証機能付き ATM を
全国に約 5,800 台配置。
大
出退勤管理 顔
株式会社
ジェイアール
西日本
福岡メンテッ
ク
従業員の出退勤管理と作業割当の
効率化を目指し、顔認証システムを
導入。4 台の認証端末を用いて、出
退勤管理を実現。
中
20
適用種別 生体識別部位
(モダリティ)
組織名 システム概要 ユーザ
規模
システム
ログイン 指静脈
福岡県
豊前市役所
情報漏洩に対する危機意識の下、職
員の意識向上、トレーサビリティの
強化を目的として、職員ポータルへ
のログイン、基幹系、内部系業務の
個人識別に生体認証を利用。
中
入退室管理
(セキュリ
ティエリア)
虹彩
指紋
パナソニック
ES ネットワ
ークス株式会
社
虹彩認証および指紋認証システム
を導入。
「見せるセキュリティ」というコン
セプトの下、社内のセキュリティシ
ステムを開示し、営業的効果を発
揮。
小
入退室管理 顔
社団法人
東海地区信用
金庫協会
東海地区
信金共同事務
センター
顔認証システムによる入退室管理
と監視カメラによる入退室確認を
連携した入退室管理システムを
2008 年から導入。 中
PC ログイン 顔 佐賀県多久市
教育委員会
佐賀県多久市の各小中学校の PC 教
室及び電子黒板用 PC に設置されて
いる PC のログインに顔認証を導
入。
大
システム
ログイン
指静脈
手の甲静脈
独立行政法人
国立病院機構
嬉野医療
センター
医療スタッフが日常的に利用する
院内電子カルテシステムに指静脈
認証システムを導入。また、サーバ
ルームなど重要施設には手の甲に
よる静脈認証システムを導入。
大
システム
ログイン 指静脈
大熊本証券
株式会社
システム操作のアクセス権限、操
作内容のログ管理などを徹底する
ため、指静脈認証システムを導入。
主に株式売買や営業職員など、証
券業務に携わる職員が主に利用。
小
フィットネ
スマシン
管理
指静脈 株式会社
パワーリハ
介護向けフィットネスジム施設に
指静脈認証装置付きのフィットネ
スマシンを導入。同マシンは、認
証をパスすると機器が自動的にそ
の人の設定に調整される。
中
サービス 手のひら静脈
株式会社
大垣共立銀
行
キャッシュカードを用いないで、
手のひら静脈認証と暗証番号か
ら、残高照会、入出金を行うこと
ができる ATM を導入・展開。
大
21
小:100 人未満、中:100 人以上 500 人未満、大:500 人以上
以降、組織名としては次のように記す。
SBI 損害保険株式会社:SBI 損保
東陽倉庫株式会社:東陽倉庫
明和地所株式会社:明和地所
株式会社三井住友銀行:三井住友銀行
株式会社ジェイアール西日本福岡メンテック:福岡メンテック
パナソニック ES ネットワークス株式会社:パナソニック ES ネットワークス
社団法人東海地区信用金庫協会東海地区信金共同事務センター:
東海地区信金共同事務センター
佐賀県多久市教育委員会:多久市教育委員会
独立行政法人国立病院機構嬉野医療センター:嬉野医療センター
大熊本証券株式会社:大熊本証券
株式会社パワーリハ:パワーリハ
株式会社大垣共立銀行:大垣共立銀行
22
3.1 佐賀県庁
(1) 導入の経緯
佐賀県庁では、庁内情報システムのシングルサインオンに指紋認証システムを採用
している。
自治体では、住民の個人情報や機密情報を多数保有しており、安全に管理すること
が望まれている中、佐賀県庁は、2004 年に職員が利用する PC のセキュリティを確
保するために、利用者確認の方法を検討した。
検討においては、利用者確認における他人なりすましの防止とともに、実際に運用
可能か否かという点を重視した。パスワードに基づく方式では、セキュリティ確保の
ために長いパスワードを設定すると記憶が困難になること、そして、忘却するとログ
インができなくなるということを問題と考えた。また、IC カードや USB デバイスを
用いる方式では、他人との間で貸し借りが可能であること、再発行の際に手間とコス
トがかかることが問題であると考え、最終的に生体認証を導入することを決定し、
2005 年、運用を開始した。
(2) 認証システムの概要
佐賀県庁では、正規職員及び臨時職員(非常勤嘱託)約 4,000 名が生体認証システ
ムを利用し、庁内イントラネット(職員ポータル)に接続された各システムをシング
ルサインオンで利用している。
生体認証装置は、各職員が利用する PC に USB ケーブルで接続されており、PC 起
動時のログインの際に利用して認証を行い、庁内イントラネット(職員ポータル)を
通じて接続されているシングルサインオンサーバによって認証を受けると、PC にロ
グインするとともに、各庁内システムへのログインも可能となる。
図 3-1 佐賀県庁指紋認証システム構成
23
生体情報は、外部のデータセンターに設置しているサーバ上で管理している。生体
情報の消去などの管理は、県庁側の管理者がリモートで行えるようになっている。
生体情報(指紋)については、10 本の指全て登録することが可能であり、けが等で
特定の指が使えなくなることを想定し、最低 3 本の指を登録することを推奨している。
初回の登録は、初期パスワードを発行し、職員がログイン後、マニュアルを見ながら
自分で生体情報の登録を行う。2回目以降の再登録では、現在登録されている生体情
報を基に認証を受けた後、職員が自ら新たな生体情報を登録する。
(3) ユーザに対して配慮した点
システム設計時に、以下の点に配慮した。
指紋認証を利用することによる職員の心理的抵抗感の低減
全職員を対象にすることによる登録拒否率の低減
登録される生体情報を他の目的で利用されないかといった不安感の払拭
偽造に関する不安感の低減
生体認証の利用者となる県庁職員に理解と協力を求めるため、システム導入 3 ヶ月
前と 2 週間前に、全職員を対象として生体認証の方式と導入に関する説明会を実施し
た。説明会に向けては、操作のポイントをわかりやすく解説したビデオファイルやパ
ンフレット(図 3-2)を用意し、職員に配布した。
24
佐賀県庁 提供
図 3-2 生体認証の説明パンフレット
実際のシステムにおいても、ログイン画面に表示される指紋情報の入力部分を網掛
け表示にするなど、利用者に配慮した工夫を凝らしている。
運用においては、電話による問い合わせ対応を行うと共に、認証ユニットやケーブ
ルの不具合には新品交換、使い方の個別説明を行うヘルプデスクを用意している。ヘ
ルプデスクは外部に委託している。
(4) システム管理に配慮した点
特に、生体情報の管理に配慮した。指紋センサには、残留指紋が残らないスイープ
型感熱センサを採用し、システム内部にも指紋画像が残らないように、指紋画像を特
徴情報に変換して使用するシステムとした。指紋の特徴情報から元の指紋画像を復元
することも不可能である。
25
(5) 運用状況
導入前には指紋認証に抵抗感を示す職員もいたが、説明会の実施やヘルプデスクに
よる個別対応により、全職員の理解が得られ、特に問題なく、良好に稼動している。
2012 年現在、生体認証装置の経年劣化に伴い、新しい装置への移行を徐々に進めて
いる。新しい生体認証装置の入れ替えに伴い、これまで生体認証でうまく認証が行わ
れなかった職員も減ってきている。
(6) システム導入の効果
パスワード方式を採用していた時には、パスワードは各自で定期的に変更すること
を義務付けていたが、なかには簡単なパスワードを使い続ける場合があるなど、パス
ワード管理の煩雑さやセキュリティ上の課題があった。生体認証システムの導入によ
り、職員の負担軽減及びセキュリティの向上につながっている。
26
3.2 SBI 損保
(1) 導入の経緯
SBI 損保では、本社オフィスやサテライトオフィスの各部屋やサーバルームへの入
退室管理に生体認証を導入している。本社オフィスには虹彩認証を、サテライトオフ
ィスには指静脈認証を採用している。
SBI 損保では、損害保険という商品の性格上、個人情報等の機微情報を多く抱えて
いる。そこで、個人情報や企業の重要な情報の管理に対する意識が高まっていること
を背景として、SBI 損保では電子的セキュリティの強化に加え、社内のオフィス、会
議室、サーバルーム等の入室に対しても、本人確認の強化を検討した。
入室管理システムはオフィスのあらゆる場所に配置し、常に運用する。そのため、
SBI 損保では、主として利便性の観点に立ち、紛失や忘却の心配がなく、人間が常に
備えている生体情報を用いた生体認証を導入することを決定した。まず、2007 年 5
月から本社オフィスにおいて虹彩認証システムの運用を開始した。
業績拡大とともに社員数が増加してサテライトオフィスも2拠点になり、本社オフ
ィスと同様に生体認証システムの導入を検討したが、導入している虹彩認証システム
開発ベンダが、今後虹彩認証システムの販売を行わないことを発表したため、別の認
証システムの導入を検討した。
いくつかの選択肢の中で、他人受入率が低く、価格、サポート、評判などを基にサ
テライトオフィスには指静脈認証システムの導入を決定した。特に、虹彩認証システ
ムについて販売が停止された経験から、ベンダサポート停止のリスクを小さくするた
め、どの程度普及しているか、また評判がよいかを重視した。
このため、現在では本社オフィスは虹彩認証、サテライトオフィスは指静脈認証、
という2つの生体認証システムを運用している。
SBI 損保では現在、本社オフィスで 60 人、サテライトオフィスで合計 420 人の社
員が生体認証システムを利用している。今後も新たなサテライトオフィスを設置した
際には、その入退室管理システムに指静脈認証システムを導入していく予定である。
(2) 認証システムの概要
生体認証装置は、本社オフィスとサテライトオフィスの各室の扉に設置している。
何れも建物内部にあり、直射日光等が当たることはない。
本社オフィスでは虹彩認証システムを運用しており、虹彩認証装置の前の適正な位
置に立つと、音声による案内がなされる。そして、生体認証センサに目を合わせると
自動的に認証処理が行われ、認証が成功すると開錠する(図 3-3 生体認証装置利用例)。
27
図 3-3 生体認証装置利用例
サテライトオフィスでは指静脈認証システムを各部屋の扉脇に設置し、社員は指を
認証装置にかざして、認証が成功すると扉の鍵が解錠され、室内に入室できる。
利用者の生体情報は、本社オフィスのサーバルーム、もしくは、サテライトオフィ
スに配置された登録用の生体認証装置を用いて登録する。虹彩認証システムでは、登
録した生体情報をサーバと各扉の生体認証装置で多重に保管している。各生体認証装
置で読み取った生体情報は、各装置内で照合するので、サーバとの通信による遅延は
ない。なお、各生体認証装置において保管している個人の生体情報は、暗号化してお
り、各生体認証装置上においても安全に保管されていると言える。
サテライトオフィスに設置されている指静脈認証システムでは、登録用端末で登録
した生体情報を、個々人の入退室制限情報を設定し、各認証端末に転送して、端末内
部で生体情報を保管する。指静脈認証装置はスタンドアローンで動作しており、生体
情報は暗号化して保管され、停電時は消去される仕組みとなっている。
(3) ユーザに対して配慮した点
日常的に生体認証を利用するため、特に、使い勝手についても配慮している。虹彩
認証装置は、男女の身長差を考慮し、およそ 150cm の高さに設置した。背の高い人
は、装置に付属するカメラ部分を上向きにすることで利用できる。また、装置には、
適正な立ち位置を判断するインジケータも用意されている。さらに、目に疾患を持つ
社員でも、認証がスムーズに行えるよう、片方の目のみでの認証も可能とした。
指静脈認証システムでは、処理速度と安全性向上を目的としてグループ ID との組
み合わせで利用する形態を採用した。
28
(4) システム管理に配慮した点
生体認証にかかる運用時の負担を軽くすることに配慮している。具体的には、各拠
点で生体情報の登録を行うようになっており、サテライトオフィスの社員がメインオ
フィスに出向くコストを低減している。また、ユーザの登録・削除を厳密におこなっ
ており、見直しを月1回(入退社登録時)実施し、加えて棚卸と呼ぶ年1回の異動等
も考慮したユーザの登録情報の確認作業を実施している。この棚卸の作業は、社内申
請書類、台帳、システム状況などを突合し、不備があった場合には登録訂正を行う。
棚卸の作業は2週間程度かけて実施している。
(5) 運用状況
これまでのところ良好に稼動しており、特に問題は発生していない。
虹彩認証システムの稼動当初、設置した生体認証装置の一つが、良好に認証できな
かったが、その装置付近の天井のスポット光の向きを変えることで、スムーズに認証
が行えるようになった。
(6) システム導入の効果
虹彩認証の導入によって、社内のセキュリティ管理が向上した。
メインオフィスでは、運用面からはカード発行などの手間がないこと、利用面から
は手を使う必要がないことなどにより、便利さを実感している。
29
3.3 東陽倉庫
(1) 導入の経緯
東陽倉庫では、機密文書の管理を行う倉庫への入退室者を確認するために、手のひ
ら静脈認証を導入した。
近年、個人情報や機密文書の管理への意識が高まり、個人情報や機密情報を電子化
し、電子的に高セキュリティな環境での管理が行われている。一方、重要な文書の中
には、書類自体に物理的に価値があり、電子化困難な場合もある。東陽倉庫では、そ
のような電子化困難な重要文書を管理するセキュリティの高い倉庫の建設を検討し
た。
倉庫のセキュリティ確保にあたっては、倉庫の設計の段階から検討を開始した。検
討にあたっては IT 技術を導入することを必須とし、IT セキュリティを検討する数社
と検討を重ねた結果、検討時における最適なセキュリティとして、IC カードと生体
認証を組み合わせて入退室管理システムを構築することを決定した。
本倉庫は 2006 年 10 月から運用を開始している。
(2) 認証システムの概要
東陽倉庫が新たに建設した建物は 6 階建てで、2 階以上が倉庫になっており、生体
認証装置は、倉庫がある各階の入口に設置されている。入口には入室用の扉があり、
扉の外側の脇には入室用の認証装置を、扉の内側の脇には退室用の認証装置を配置し
ている。(図 3-4、図 3-5)。
図 3-4 倉庫階入口外観
30
図 3-5 手のひら静脈による本人確認
認証装置を設置した環境は、何れも建物内部に相当し、照明は一定の状態に維持さ
れている。
入退室の本人確認は、IC カードと生体認証の併用である。認証装置は、IC カード
認証機能と手のひら静脈認証機能を兼ね備えており、先ず、IC カードを提示して IC
カード認証を行った後、手のひらをかざして生体認証を行う。
利用者の生体情報は、厳重に管理された 2 台のサーバで管理している。倉庫の各認
証装置とサーバとは、社内の LAN とは独立した LAN で接続されており、生体認証
の照合はサーバ上で行われている。
本生体認証の利用規模は 30 名を想定しており、現時点では倉庫関係者約 20 名が利
用している。
(3) ユーザに対して配慮した点
本システムの運用開始に合わせて、利用者には、事前に 1 日程度の実践練習会を実
施した。常日頃、社内でセキュリティ教育を実施しているため、生体情報という機密
情報の取り扱いについても高い理解が得られた。
利用者は男女をともに含むことから、認証装置を設置する高さは、男女双方の身長
を配慮して決定した。生体認証装置自体も、手を乗せる小さな台があり、そこに手を
乗せることで容易かつ適切に手をかざすことができる。センサ部に直接、接触しない
認証方式を選んだことにより、衛生面においても利用者の理解が得られた。
31
(4) システム管理に配慮した点
システム管理においては特に生体情報の紛失や漏洩への対策を強化した。生体情報
を管理するサーバは専用のサーバルームに配置している。サーバルームへの入退室は
IC カードによって本人確認を行うようにし、特定の社員以外は入れないようにして
いる。生体情報を管理するサーバも 2 台を用い、多重管理により信頼性を高めている。
(5) 運用状況
認証失敗が多発する利用者に対しては、認証装置の利用に対する再説明をするとと
もに、再登録を行う。再説明、再登録後は、何れの利用者も問題なく認証できている。
初めて訪れた運送業者が本倉庫の高セキュリティシステムに戸惑うことがある。そ
の際は、本倉庫のセキュリティの高さを説明し理解を得ている。一貫して、運用後も、
導入当初に立てたセキュリティポリシーの維持を徹底している。
導入後 5 年を経過し、認証時に時間がかかる等の問題が発生し始めた。本件につい
ては、納入ベンダに対して改善要望を行っており、近く解決する予定である。また、
導入後 5 年で機器の障害率が上がることを導入前にベンダから説明を受けているた
め、生体認証装置の入れ替えも検討している。
(6) システム導入の効果
生体認証の導入より、倉庫へ搬入、搬出を行う保管文書をはじめとする荷物の管理
の徹底が実現した。
セキュリティの高さは書類を預ける人への安心感につながっている。
32
3.4 明和地所
(1) 導入の経緯
明和地所では、マンションにおける入居者の確認のために、指紋認証、手のひら静
脈認証、音声認証を導入した。
近年、国内において凶悪犯罪が増加しつつあり、一般住居のセキュリティ向上につ
いて意識が高まっている。明和地所では、マンションを建設・販売するにあたり、安
全性の高い物件を提供するため、セキュリティの高い共用玄関の設置を検討した。
マンションの共用玄関は、そのマンションの住民が、日常生活の中で利用する。そ
のため、セキュリティの確保に加え、利便性も高いことが要求される。そこで、鍵を
不要としながらも、セキュリティを確保できる本人確認の方式として、生体認証を導
入することを決定した。
(2) 認証システムの概要
生体認証装置は、マンションの共用玄関、もしくは、エレベータホールに配置して
いる。入居者は、入居者確認の方法を、従来の方法か生体認証かのどちらかを選択で
きる。生体認証を共用玄関で実施するケースでは、生体認証によって玄関内部に入る
ことができ、エレベータホールに配置しているケースでは、他の階で停止しているエ
レベータをエレベータホールのある 1 階に呼び出すことができる。
指紋認証もしくは手のひら静脈認証を導入しているマンションでは、生体認証と暗
証番号による認証を併用する。また、音声認証システムを導入しているマンションで
は、あらかじめ緊急キーワードを登録しておけば、認証用のマイクに登録した緊急キ
ーワードを発声することにより、警備会社に連絡することができる。
生体情報の登録は説明者が立会う。その機会も繰り返し設けている。生体認証シス
テムのメンテナンスは、マンションの竣工後年1回、また、状況によってはマンショ
ンの管理者の判断のもとで、必要に応じて行っている。
(3) ユーザに配慮した点
生体認証の使いやすさに配慮した。具体的には、生体認証付き入退室管理装置の設
置にあたって、入居者の年齢や身長に配慮した。
(4) システム管理に配慮した点
生体情報の管理に特に配慮している。登録された生体情報は各物件の特別な場所に
設置されたコンピュータ内に格納し、限られた人間にしか操作できないように管理・
運用を行い、生体情報の漏洩・盗難に配慮した。
33
(5) 運用状況
生体認証システムを導入したマンションは、関東に 9 物件あり、512 世帯が利用し
ている。現時点では生体認証の利用頻度はあまり高くない。しかし、入居者より、鍵
を忘れてオートロックのドアの外に出てしまっても、生体認証により入館できたとい
う報告が多くあり、生体認証が「第二の鍵」であるという理解が増えつつある。
(6) システム導入の効果
生体認証を導入することで、確かな防犯対策を実現できたと同時に、安全へ配慮し
た共用玄関に対する理解が高まり、マンションの販売促進にも効果があった。
34
3.5 三井住友銀行
(1) 導入の経緯
三井住友銀行は、ATM(Automatic Teller Machine)における利用者確認のために
指静脈認証を導入した。
2003 年、キャッシュカードのスキミング犯罪が多発し、国内の金融機関は金融商品
のセキュリティ向上への意識が高まった。そこで、三井住友銀行はキャッシュカード
を、偽造が困難な IC カードにすることを決定し、さらに、本人確認も強化すること
を検討した。
キャッシュカードの利用者は、子どもからお年寄りまで幅広く、特に年齢制限がな
い。そのため新規に導入する本人確認は、誰もが直感的に利用できることが望まれた。
さらに、カード同様、偽造が困難な方法であることも望まれた。以上の条件を総合的
に判断し、最終的に生体認証を採用することを決定した。
(2) 認証システムの概要
三井住友銀行では IC カードをキャッシュカードとして用い、このカードを使用す
るためには、カードへの生体認証情報の登録を必須とする商品を展開した。このカー
ドを使用する際は、先ず、ATM へカードを挿入し、次に、ATM のタッチパネルの脇
に配置された生体認証センサに、指をかざす(図 3-6 生体認証機能付きATM使用例)。
(Copyright 2008, 三井住友銀行)
図 3-6 生体認証機能付き ATM 使用例
35
生体情報の登録は行員の説明のもとに本・支店窓口で行う。登録の際の本人確認は、
運転免許証等の公的な本人確認書類をもとに行う。登録する生体情報は生体認証機能
付き IC キャッシュカードの IC チップに記録される。認証時、ATM の生体認証セン
サにより取得した生体情報はキャッシュカード内部に送り込まれ、カード内に記録さ
れた生体情報とカード内で照合される。カードの外部には照合結果しか出力されない。
照合に成功したという結果は、ATM を経由して銀行のメインサーバに送信され、取
引を開始することができる。
生体認証機能付き ATM は、全国で約 5,800 台配置されている。また、登録用とし
ては全国の本・支店窓口に約 1,000 セットが配置されている。
(3) ユーザに配慮した点
三井住友銀行は、広範囲の年齢層の顧客に生体認証を理解してもらえるよう、サー
ビスおよびシステムをシンプルに構築するよう努めた。そのため、生体認証機能付き
IC キャッシュカードを利用するためには、カードへの生体認証情報の登録を必須と
した。このカードを利用して残高照会や出金を行う際は、必ず生体認証を行うことと
なるため、他行 ATM との相互利用や生体認証を備えたATMを多数設置することで、
生体認証を利用する顧客に不便を感じさせないようにした。
キャッシュカードの利用者が紛失等による再発行を行うケースは多くはないため、
生体認証機能付きキャッシュカードの長期的な利用を想定し、生体の経年変化がほと
んどないことを確認のうえ、指静脈認証システムを採用することとした。
生体認証の利用方法についても、顧客に十分理解いただけるよう配慮している。す
なわち、説明を行う行員が自ら生体認証に精通するよう、導入 1 ヶ月程度前から、ビ
デオ映像などを用いた勉強会を開催し、実際に利用する演習も実施した。
また、生体認証機能付きキャッシュカード利用者の負荷軽減を目的の一つとして、
生体認証機能付きキャッシュカード等の即時発行サービスを、来店顧客の多い3店舗
(新宿西口支店、横浜駅前支店、難波支店)で、2012 年 2 月から試行実施している。
生体認証機能付きキャッシュカードを通常発行する手続きでは、生体情報の登録を行
うために利用希望者が 2 回来店する必要があり、このような負荷を軽減することによ
り生体認証機能付きキャッシュカードの申込増加や顧客満足度の向上に繋がるか等
を検証している。
(4) システム管理に配慮した点
三井住友銀行が採用する指静脈認証システムでは、赤外線センサを用いて指の静脈
情報を抽出するため、生体認証センサへの直接光に弱い。そのため、周囲の照明に配
慮した。
生体認証の認証精度に関する評価テストも、システムベンダと協力して実施してい
る。
36
(5) 運用状況
現時点では、導入後、認証に支障を来たしたことはなく、良好に稼働している。
当初懸念された生体認証機能付き ATM の数についても、サービスの充実を目的と
して既存の ATM の生体認証機能付き ATM への転換を進めたことにより、生体認証
機能付き ATM の配備が足りないという顧客の不満はほぼ解消している。
(6) システム導入の効果
生体認証機能付き IC カードを導入したことで、安全性の高いサービスを提供でき
た。また、比較的早い時期に生体認証を導入したため、セキュリティへの積極的な取
組みについて、多くの顧客の理解を得ることができた。
37
3.6 福岡メンテック
(1) 導入の経緯
ジェイアール西日本福岡メンテック(以下、福岡メンテック)では、従業員の出勤
管理と正確な従業員配置、及び、当該作業の負荷軽減を目的として、顔認証システム
を 2007 年に導入した。
福岡メンテックは、新幹線の車両庫であるJR西日本博多総合車両所において、新
幹線車両の清掃・整備および検査・修繕に係る業務を実施している。多数の新幹線車
両に対して、これらの業務を実施するためには、従業員の確保と最適な作業配置が求
められる。福岡メンテックでは、これまで面着板と呼ばれる、掲示板と名札を用いた
出退勤管理と作業割り当て表の作成・開示を行っていた。しかし、面着板の管理のた
めに従業員 2 名を配置し、翌日分 450 名の面着板の作成に毎回 1 時間程度を要してい
た。このため、面着板の作成に係るコストの削減と確実な出退勤確認の実施が求めら
れることとなり、生体認証システムを用いて電子化を行い、省力化を図ることとなっ
た。
顔認証システムの選定においては、福岡メンテックの関係各社を訪問し、生体情報
の読み取り性能や端末の反応速度などを考慮し、想定するアプリケーションが勤怠管
理であることを踏まえて決定した。
(2) 認証システムの概要
顔認証装置は、事務室の入り口に 4 台設置している。顔認証装置が設置された端末
4 台は、事務室内にある 2 台のサーバにネットワーク接続されている。サーバでは生
体情報である顔画像(写真)を管理するとともに、システム管理端末上で作成した作
業割当表を管理する。また、作成された作業割当表は、従業員の休憩室に設置された
大型ディスプレイに投影されるようになっている。
事務室内に設置された 2 台のサーバは 2 重系とし、ミラーリングにより生体情報等
の消失等の可能性を低減し、常時稼動を実現するようになっている。このほか、サー
バは給与管理を行う基幹系システムと接続し、基幹系システムに出退勤状況を通知す
るようになっている。
システム設計時には、最大 1000 人程度の登録を想定し、現状では 600 名の社員・
作業員(アルバイト含む)が登録を行っている。
生体情報の登録は、認証用の端末で実施し、認証用端末の近くに座席を持つ管理者
がナビゲートしながら行う。また、認証時の生体情報の取得失敗を避けるため、画面
上にナビゲーションを表示する工夫がなされている。
福岡メンテックが導入している顔認証システムでは、認証成功時に取得した顔画像
を認証用の生体情報として登録していき、学習機能により認証精度が安定するように
工夫がなされている。この結果、97~98%の確率で本人を確認することができている。
38
図 3-7 顔認証システムを用いた認証
福岡メンテックの顔認証システムは、勤怠管理と作業割当表の作成を目的としてい
るため、認証失敗(本人拒否)時には、候補者一覧が画面上に表示される。従業員は、
そのリストの中から自身の名前を選択することで、出勤したことをシステムに伝える
仕組みとなっている。この際、取得した顔画像も生体情報として登録し、次回認証時
に利用する。
(3) ユーザに対して配慮した点
認証システムの選定においては、写真撮影等のなれを考慮して従業員の心理的障害
が少ないこと、認証に係る時間が 1 秒程度と短いことなどから顔認証システムを導入
することとした。
導入前、従業員には、顔認証システムを導入することの告知を行った。システム管
理を行う管理者には 1 日程度の講習を実施した。また、システム導入時の混乱を低減
するため、面着板と顔認証システムの並存期間を 1 ヶ月程度設けた。
導入後、認証精度を向上させるために、認証に用いる顔画像は複数枚サーバに保管
しておき、認証を行う際には、前回の認証時に成功した画像を 1 番はじめに用いる様
に、システムの改修を行った。また、従業員従業員の認証に係る負担をさらに低減す
るために、認証端末画面に表示される顔画像を大きくすると共に、認証時にナビゲー
ションを表示し、適切な位置に移動しやすいようにした。
39
(4) システム管理に配慮した点
システム設計時に、氏名と生体情報を暗号化して保管することと、3 ヶ月に 1 度あ
る停電時に自動で起動するように設計を行った。
システム導入前には、認証精度の確認を実施し、システム稼動後も含めて、システ
ムの改修を実施して認証率の向上をはかった。
また、システムの導入を行ったベンダの社員が、システムが不慮の停止をした場合
には、すぐに対応できるような体制が取られている。
(5) 運用状況
導入当初は、認証率に不満があったが、システム改修により性能が向上し、現在で
はほぼ正確に認証ができるようになっている。
また、現在据え置きの PC に PC カメラを設置して認証装置を構成しているが、ほ
こり等がたまり故障する危険性があるため、扇風機を用いてほこりがたまりにくいよ
うにしている。カメラ付きのモバイル端末が市場に出回っていることから、現在据え
置きの PC からカメラ付きモバイル端末への意向を検討している。
それ以外では特に大きな問題もなく、良好に稼動している。
(6) システム導入の効果
従業員の出退勤管理並びに、作業割当にかかっていた手間が削減され、業務効率の
改善がなされた。また、従業員の休憩所に設置された大型ディスプレイに生体認証結
果を含めた勤務情報が投影されることにより、従業員は自身の仕事の割当が見やすく
なり、作業効率が向上した。
40
3.7 福岡県豊前市役所
(1) 導入の経緯
豊前市役所では、情報漏洩が問題視される中、市職員の情報セキュリティへの意識
向上、より厳密なログの収集等を目的として、システムのオープン化に合わせて、指
静脈システムを導入した。
豊前市役所では、基幹系業務システム(住民基本台帳、税務関連)と内部系システ
ム(財務会計、人事給与等)はメインフレーム上で稼動しており、システムへのログ
インは ID カードのみで行われていた。電子自治体への対応、行政サービスの向上と
いった社会的要請に応えることを目的として、豊前市役所では、基幹業務システムお
よび内部系システムのオープン化が決定された。これにあわせて、情報漏洩等情報セ
キュリティへの職員意識の向上と厳密なログ管理によるトレーサビリティの向上を
目的として、生体認証システムの導入を行うこととなった。
指静脈認証システムの導入は、物理認証よりもセキュアであり、IC カードよりもラ
ンニングコスト及びトータルコストが安いことを考慮し、決定した。
(2) 認証システムの概要
有線で接続された基幹系システムのPC端末、および、無線接続された内部系シス
テムのPC端末に USB ケーブルで指静脈認証端末が接続されている。基幹系システ
ムのPC端末は 50 台、内部系システムのPC端末は 220 台を想定し、内部系システ
ム端末は現在 204 台となっている。指静脈認証端末は主に市庁舎内に設置されている。
職員は指静脈認証を用いて基幹系及び内部系の職員ポータルにログインし、必要な
業務にアクセスすることが可能となっている。また、基幹系システム、内部系システ
ムへの職員がアクセスする際には、個人識別として利用し、ログの厳密な管理を実現
している。
システムに登録されているのは、一般職員全員および一部嘱託職員である。
(3) ユーザに配慮した点
システムの導入時に、全職員を対象として、10 回に分けての講習を実施するととも
に、事前に職員から寄せられていた質問への回答をおこない、職員のシステム移行な
らびに生体認証システムの利用に関する不安解消に努めた。
また、金融機関でも指静脈認証が利用されていることを考慮し、金融機関に登録し
た指とは異なる指静脈の登録を呼びかけている。
41
(4) システム管理に配慮した点
システム導入時に、納入業者推奨の認証精度で生体情報の収集を実施し、認証がう
まく行かない等の問題が発生した場合に認証精度(FRR、FAR)のチューニングと、
生体情報の再登録を実施した。
(5) 運用状況
導入時に、セキュリティ上の問題点について十分な説明が行われていないとの指摘
が寄せられた。この問題については、質問者に対して口頭で説明することで対応した。
また、導入後に利用者に対してアンケートを行い、利用者からの意見を収集すること
で、生体認証利用に関する反省点等を明らかにした。
導入当初、認証時の指の置き方が登録時のものと違うことにより認証がスムーズに
行えないといった問題が多発した。職員は認証がスムーズに行えないと、指を指静脈
認証装置に押し付けることをし、さらに認証プロセスがスムーズに行えなくなるとい
う悪循環に陥った。この問題は、職員の生体情報の再登録の際に、登録時の指の置き
方などをよく憶えておくよう指導することにより、解消された。
指静脈認証システムの認証精度面で、取得後の指配置にバラつきがあり、個人差が
生じている。そういった職員への再登録の要請もあまり積極的に登録に訪れないため、
認証に何度もリトライしている職員が見受けられる。本件への対応は、今後の検討課
題としている。
(6) システム導入の効果
IC カードとの併用した場合よりも、初期費用が数百万円程度削減された。ICカー
ド単独導入と比較しても、毎年の職員増によるランニングコストが削減されている。
42
3.8 パナソニックESネットワークス
(1) 導入の経緯
パナソニック ES ネットワークスでは、サーバルーム及び書類倉庫の入退室管理に
それぞれ虹彩認証システムおよび指紋認証システムを 2005 年に導入し、顧客に積極
的に開示し、営業的効果を得ている。パナソニック ES ネットワークスでは、「見せ
るセキュリティ」をコンセプトとして、製品仕様だけでは伝えきれない、セキュリテ
ィ対策の運用面を開示することにより、顧客の理解促進と営業促進の向上を戦略的に
実施している。その一環として、生体認証システムを導入し、顧客に積極的に開示す
ることとなった。
生体認証システムの選定に当たっては、虹彩認証システムはスループットが良かっ
たこと、および、誤認識率が低かったことにより選定し、指紋認証システムの導入に
際しては、虹彩認証システム以外のバリエーションを顧客に示すことを目的として選
定した。
しかし、虹彩認証システムは開発ベンダによるサポートが停止されたため、指静脈
認証装置に変更して、現在運用を行っている。
(2) 認証システムの概要
パナソニック ES ネットワークスの本社オフィスは、取扱う情報の重要度に応じてセ
キュリティレベルを設定し管理している。セキュリティレベルは 5 段階で設定され、
セキュリティレベル 1 はエントランス、セキュリティレベル 2 は顧客との打合せなど
を行う打合せスペース、セキュリティレベル 3は基本的に社員のみ入室可能な執務室、
セキュリティレベル 4 は書類倉庫、セキュリティレベル 5 はサーバルームとなってお
り、レベルが高くなるほど安全に管理すべきスペースとなっている。
サーバルーム(セキュリティレベル 5)の入退室管理には指静脈認証システムを用い、
社員用 IC カードとの組み合わせにより認証を行う方式となっている。また、書類倉庫
(セキュリティレベル 4)の入退室管理には指紋認証システムを用いている。指紋認証
システムでは、指紋照合のみの認証ではスループットがかかることから、暗証番号を
入力した上で、指紋照合を行なう手順で実施する方式となっている。認証に利用する
生体情報は、管理装置内に格納されている。
43
図 3-8 パナソニック ES ネットワークスの入退室管理システム
サーバルームにはサーバやネットワーク機器を保守、管理する約 20 名が登録されて
いる。書類倉庫は、管理部署が決められており、その部署員 15 名程度が登録されて
いる。
指静脈認証システムおよび指紋認証システムの各認証端末は、管理装置に接続され
ており、管理装置経由で社内ネットワークに接続されてサーバと通信を行う構成とな
っている。
(3) ユーザに配慮した点
指紋認証システムでは、1 指では指紋の認識がうまく行えないことがあるため、事
前に 2 指を登録している。
(4) システム管理に配慮した点
社内システムを管理するためのソフトウェアは、実績あるパッケージソフトウェア
を導入したため、特段の配慮はしていない。
(5) 運用状況
導入直後、社員がシステムに慣れるまでの間、IC カードをかざさないなどの操作ミ
スが発生したが、導入後数年で社員もシステムに慣れてきたため、操作ミスはなくな
っている。
また、虹彩認証システムのサポート停止に伴い、指静脈認証システムに切り替えて
運用を行っている。
44
(6) システム導入の効果
自社で行っているセキュリティ対策を積極的に顧客に公開することで、顧客の理解
が促進され、販売促進としての効果が得られている。また、パナソニックグループ内
での認知度が高まると共に、メディア等にも取上げられ、さらに効果が高まるという
好循環を得ている。
45
3.9 東海地区信金共同事務センター
(1) 導入の経緯
東海地区信金共同事務センターでは、顔認証システムによる入退室管理と監視カメ
ラによる入退室確認を連携した入退室管理システムを 2008 年から導入している。
東海地区信金共同事務センターでは、監査の際に一部指導を受けたことを契機に、
2001 年から生体認証システムを導入していた。生体認証システム導入から 7 年が経
過した 2008 年時点でシステムの更新を行うことを検討した際に、導入していた生体
認証製品の後継機では、一部機能が踏襲されておらず、必要機能を満たさないため、
新規の生体認証システムの導入から検討することとなった。この際、入退室の際に両
手を使えること等を条件として、システム納入ベンダと相談し、顔認証システムを導
入することとなった。
(2) 認証システムの概要
東海地区信金共同事務センターが導入した入退室管理システムは、主に以下 5 つの
機能で構成されている。
顔認証装置による各フロア、執務室への入退室管理
監視カメラによる入退室状況の確認
顔認証による認証時刻を基にした監視画像検索
職員の権限レベルにより入退室管理の運用が可能
サーバのログ情報より職員の勤務表と突合し、時間外勤務および臨時の休日出
勤時のセキュリティ管理
導入当初、顔認証端末は、各フロア(全 3 フロア)の扉に設置されており、計 12
台が設置されていたが、現在は、全国的な信用金庫共同事務センターのシステム統合
に伴い、1 フロア計 7 台に縮小している。
各顔認証端末は顔認証コントローラを介して LAN に接続され、顔認証管理サーバ
と通信を行うようになっている。
顔認証管理サーバは事務室の管理区域に設置され、管理者のみが操作可能となって
おり、サーバ室は監視カメラでサーバ操作の状況について管理者が確認できる設計と
なっている。
各部屋の入口に設置された監視カメラは、顔認証装置で認証を行う人とその周辺を
撮影する位置に設置されており、撮影した画像を、管理区域内に設置された HD ビデ
オレコーダに送信するようになっている。HD ビデオレコーダは、監視カメラが撮影
した画像情報を 1 年分蓄積するようになっている。HD ビデオレコーダに蓄積された
認証時の入退室状況の画像は、入退室管理サーバに蓄積されているログ情報に含まれ
る時刻情報を基に、検索できるようになっている。
46
顔認証端末には、スポットでライトを点灯させるようになっており、昼夜を問わず
スムーズな認証ができるようにしてあると共に、監視カメラで撮影する画像を明瞭に
するようになっている。
図 3-9 東海共同事務センターが導入したシステム概要
登録されているユーザは、正規職員の他に、システム運用のためのシステムベンダ
職員も登録されている。
図 3-10 東海地区信金共同事務センターの顔認証端末
管理区域ゲート
顔認証端末(入)
顔認証端末(出)
顔認証コントローラ
監視カメラ 入退管理サーバ 顔認証サーバ
DVR DVR
監視画像確認
DVRの画像を表示します
電子錠コントローラ
画像確認画面ログをクリック
47
(3) ユーザに配慮した点
ユーザに対して配慮した点は、物を持っていても認証が行えるようにすることと、
認証時に端末に接触することによる嫌悪感を低減することであり、これらを満たす生
体認証システムとして、顔認証システムを採用したことが挙げられる。
また、顔認証端末を設置する高さについても配慮し、身長の低い職員でも十分に認
証が行える高さを検討して、設置した。
顔認証端末はビル内のフロア入り口に設置されており、太陽光が差し込んでくるこ
とがあるが、端末に附属したスポットライトが照射されるようになっており、太陽光
やビルの証明の影響を受けずにスムーズな認証ができるようになっている。
(4) システム管理に配慮した点
管理区域にある無停電電源を用いて、停電時でも顔認証端末による認証が行えるよ
うにした。
(5) 運用状況
システム稼動以来、問題なく順調に運用を続けている。
今後は、全国的な信金共同事務センターのシステム統合に併せて、全国の信用金庫
に勤務するオペレータ等への展開も検討している。
(6) システム導入の効果
以前導入していた生体認証システムと比較して、認証にかかる時間が短くなった。
また、登録及び認証も容易であり、職員の心理的負荷も減っている。金融機関である
こともあり、職員の生体認証への理解はもともと高かったといえるが、生体認証シス
テムを導入することにより、セキュリティへの意識は更に高まったといえる。
また友連れ防止機能があり、一旦入室した職員は同室の入退室情報チェックを行い
退室確認ができなければ、他の室には入室できない仕組み採用し、より厳密な入退室
管理ができるようになった。操作時に扉の片方で認証を行っている場合には、もう一
方の確認端末に使用状況を表示することにより、同時での入退室認証の防止ができる
ようになった。
なお、臨時入退室にも対応が可能となっており、緊急時に利用している。
48
3.10 多久市教育委員会
(1) 導入の経緯
平成 19 年末に、佐賀県多久市内の全小中学校の PC を更新する計画が成立した事を
契機として、PC のセキュリティ面での拡充を目的に、生体認証システムを導入する
こととなった。当初は、PC のログインには ID/PW しかないという認識があり、児童
生徒に適した認証方式を検討することとなった。
生体認証システムの導入に際して、企画の提案を募集し、顔認証システムの導入が
児童生徒のセキュリティ意識や情報モラルの向上につながると考え、これを採用する
こととした。生体認証システムの導入の検討に際して、IC カードを用いることも検
討した。しかし、IC カードの発行にはコスト面での負荷がかかること、小中学校の
児童生徒が利用するための PC を設置したパソコン教室では、学習内容によっては数
人で 1台の PCを利用する形態となる場合があり、接触型のデバイスによる認証では、
故障の恐れがあったことから、これを除外した。生体認証は、亡失や紛失の心配がな
く、特に小学校低学年を想定した場合、パスワードや IC カードよりも適していると
考え、これを採用することとした。
また、平成 21 年度に小中学校の各教室に電子黒板を導入した際にも、その認証シス
テムとして同じ顔認証システムを採用した。
(2) 認証システムの概要
各小中学校の PC 教室に設置された児童生徒用の PC、及び、各教室に 1 台ずつ設置
されている電子黒板に顔認証システムを設置している。生体情報である顔写真と児童
生徒の識別情報は職員室に設置されたサーバに保管しており、学校内ネットワークを
介して接続されている。
年度初めの授業において、担任教師と児童生徒が一緒に生体情報の登録を行う。登
録は、担任教師の監督の下、ICT 支援委員も補助役となり、各児童生徒が PC を操作
し、PC に設置された Web カメラを用いて 5 枚の顔写真を撮影する。撮影した各自の
顔写真は担任教師の操作する PC に転送されて、一覧整理される。担任教師はこの一
覧を PC 上で確認し、問題なければ担任教師が承認して、サーバに保管されて、登録
が完了する。
サーバは各校ごとに職員室に配置されている。サーバルーム等は特に設置していな
い。システム自体は、学校ごとに独立したものとなっている。
認証を行う際は、個々の児童生徒が自分に割り当てられた PC に設置された Web カ
メラで顔写真を撮影して認証を行う(図 3-11)。認証にパスすると PC を利用できる。
認証がどうしても失敗する場合は、担当教員が当該児童生徒のログインを教員用の端
末から許可して利用可能とする。再登録も児童生徒が自分で行うことができる。
49
図 3-11 児童が顔認証で PC ログインしている様子
サーバに保管されている顔画像は、最初は登録時に撮影した 5 枚の顔画像であるが、
認証を行うたびに、認証成功した画像と置き換えていき、最大 3 枚まで置き換える仕
組みとなっている。この機能により、顔認証システムが安定して稼働している。
(3) ユーザに配慮した点
顔認証では、児童生徒が喜んで登録操作している様子であり、導入の妨げにはなら
なかった。また、クレーム等も発生していない。
市内全小中学校に 1 名ずつの ICT 支援委員を配置し、教職員や児童生徒へのサポー
トを行っている。このため、システムの導入・運用がスムーズに進んでいる。
保護者に対しても、パソコン教室での授業参観を通して、顔認証システムを自分の
子供が利用している状況を実際に目にすることにより、理解をしてもらうようにして
いる。このため、保護者からの不満や問い合わせ等があったことはない。
(4) システム管理に配慮した点
常時のパソコン教室の開放を目指し、カメラを 3 台設置して、室内の様子を職員室
から確認できるようにした。
また、生体情報の登録や再登録も児童生徒が自分で行い、教員が確認してからサー
バに登録する仕組みとした。
認証システムの運用状況は月1回の認証ログの確認を納入業者が行っている。極端
に認証失敗する例がある場合は、ベンダから学校側に連絡し、学校で原因等の究明を
行う。
50
(5) 運用状況
安定的に運用されており、これまでに特に問題は発生していない。
(6) システム導入の効果
児童生徒のパソコン活用の動機づけにつながっており、セキュリティ意識の向上に
もなっている。例えば、遊び目的やいたずら目的でのパソコンの利用はほとんどなく、
勉強や情報収集を目的とした利用が着実に増えてきている。特に電子コンテンツ(ド
リル)への自発的な取り組みが増えてきている。
電子黒板については、紙の教科書ではできない授業のコンテンツで授業を行うこと
ができたり、児童生徒が個々人の作品などを画面に写すなどができたりなど、よりダ
イナミックな授業が展開できるようになり、児童生徒に大好評である。教員にとって
も、スイッチひとつで直ぐに授業に入れるため、評判がよい。ICT 支援員が授業に使
えるコンテンツを集めてくれるなどの支援もあり、教員の教材作成が行いやすくなっ
ている。このように、システム導入を契機として、多久市の小中学校では教育面で非
常によい循環が生まれてきている。
51
3.11 嬉野医療センター
(1) 導入の経緯
独立行政法人国立病院機構嬉野(うれしの)医療センター(以下、嬉野医療センタ
ー)では、2004 年に病院情報システムの導入に併せて医療情報管理室を設置し、医
療情報管理室及びサーバ室の入退室管理システムに手の甲による静脈認証システム
を導入した。この際、手のひら静脈認証システムと手の甲の静脈認証システムを比較
し、認証装置の使いやすさと認証速度から手の甲の静脈認証システムを採用すること
とした。当時の手のひら静脈認証システムは空間的なブレにより認証に時間がかかる
という問題があり、手の甲静脈認証システムでは ID を入力して手の甲を押し上げる
と即座に認証が終了するという利点があったため、手の甲の静脈認証システムを採用
することとした。
2004 年に導入したオーダリングシステムでは、ID/PW をログインシステムとして
採用し、厚生労働省の「医療情報システムの安全管理に関するガイドライン」に従っ
て構築し、パスワードの有効期間は 60 日として運用していた。しかし、パスワード
の漏えい、変更後の亡失、パスワードの貸し借りなどのリスク、及び PW の失念時の
ユーザからの問合せに係る負荷を考慮し、認証システムの変更について検討を開始し
た。その結果、2010 年の病院情報システムの更新の際に、電子カルテシステムの認
証手段として、指静脈、手のひら静脈、虹彩の各認証システムを検討対象とし、安全
性、利便性、費用対効果の面から指静脈認証システムを導入した。
(2) 認証システムの概要
嬉野医療センターの電子カルテシステムは約 600人の医療スタッフ全員が利用して
おり、指静脈認証システムでログインする。指静脈認証システムは医療スタッフが利
用する全 PC に設置されている。
電子カルテシステムと、電子カルテシステムにログインするための指静脈認証シス
テムは、異なるベンダの製品を採用している。この為、電子カルテシステムを納入す
るベンダに対して、認証システム用の API を提供してもらえるよう要望し、当該ベ
ンダはこの要望に対してデフォルトの API として提供することになった。
52
http://www.hitachi.co.jp/products/it/veinid/case_studies/ureshino/casestudy3.html より
引用
図 3-12 嬉野医療センター 指静脈認証システム利用イメージ
手の甲の静脈認証システムは、サーバ室と医療情報管理室の入退室管理に用いてお
り、サーバ管理者と医療情報管理室職員だけが登録されている。
図 3-13 手の甲の静脈認証装置
53
(3) ユーザに配慮した点
ユーザの利便性を重視し、1:N 認証を採用し、ID の入力を行わないで指静脈認証シ
ステムだけで電子カルテシステムにログインできるようにした。登録する指静脈パタ
ーンは左右の 1 指ずつ計 2 指である。他人受入の問題もあるため、静脈パターンの近
い人をシステム側で認識し、そのような人だけ 2 指登録しておき 2 指で認証する形態
としている。
医療スタッフの移動が頻繁に行われるため、生体情報の登録を各自で行えるように
した。初回登録時は、管理者が発行した ID/PW を用いてログインし、その後各自で
認証装置を用いて生体情報の登録を行う。認証精度などが安定しない場合など再登録
を行う場合は、指静脈認証システムを通してログインを行った後、認証装置を用いて
再登録を行う。このため、認証が安定しない場合などは医療スタッフ各自の判断で何
度でも再登録を行うことができる。
医療スタッフが患者の巡回の際にもモバイル PC を通して電子カルテに情報を入力
するため、指静脈認証装置が固定されるように専用のキャリアも自作している(図
3-17)。
図 3-14 嬉野医療センターで自作した専用のキャリア
2010 年の指静脈認証システム導入時には、医療スタッフに向けて説明会を実施した。
医療スタッフの中には嫌悪感を示す方もいたが、電子カルテシステムのログインにだ
け用いること、その他で流用することはないことを説明し理解を得た。
また、指静脈認証システム導入後、新人医療スタッフに向けて行われるオリエンテ
ーションの中で、指静脈認証システムの使い方や登録方法などを指導している。
54
(4) システム管理に配慮した点
電子カルテシステムと、電子カルテシステムのログインを担う認証システムを提供
するベンダが異なるため、電子カルテシステムのパッケージに入出力用の API を標
準で組込んだ。
また、医療機関であるため、手術などを行う医療スタッフ向けに ID/PW も利用でき
るようにした。手術室では、手袋を着用することが多く、指静脈認証装置を使うこと
が難しい場合が多いためである。
(5) 運用状況
運用開始後 2 年が経過し、安定的に運用が行われている。
今後は、医療器具や薬剤の管理のため、現状カードキーで行っているこれらの部屋
への入退室管理を生体認証に代え、誰が入出したのかを正確に把握できるようにする
ことも検討している。また、長期的には、会議への出欠管理など、様々な局面で生体
認証を利用できないかを検討していく予定である。
(6) システム導入の効果
ID/PW を利用していたころと比べて、認証速度が速くなり便利なった。医療スタッ
フの中には 20 文字のパスワードを設定する方もいて、パスワード更新時に失念する
ケースもあったが、生体認証の導入により利便性が向上した。
また、ID/PW では覗き見などを気にする医療スタッフも多かったが、生体認証シス
テムを導入して解消された。
55
3.12 大熊本証券
(1) 導入の経緯
個人情報保護法の施行に伴い、監督官庁による指導が徹底されるようになってきた
ため、ID/PW よりもより個人を特定可能な認証方式と顧客情報に係るアクセスログ
の管理を目的として、指静脈認証システムを導入した。
生体認証システム導入以前は、顧客情報へのアクセスする際に特に認証を行うとい
うプロセスは無く、また、顧客情報を印刷して持ち出してもログが残らず、管理が徹
底されていなかった。このような状況下、個人情報保護法の施行に伴う監督官庁の指
導が徹底されてきたことに加え、より顧客に安心してもらえるような情報管理体制を
構築するために、生体認証システムを導入して本人性をより厳密に確認しつつ、顧客
情報へのアクセスコントロールを行えるよう、指静脈認証システムを採用した社内シ
ステムの刷新を行った。
(2) 認証システムの概要
株式売買や顧客情報にアクセスするなど、各業務を行う際に各社員が指静脈認証シ
ステムで認証を行う。全役職員(71 名、2012 年現在)が登録されているが、主に株
式売買や営業職員など、証券業務に携わる職員が主に利用している。
指静脈認証装置は全店舗の全 PC に設置されている。業務メニューが表示された PC
の画面から実施する業務を選択すると、認証要求が職員に向けて表示される。職員が
認証装置に指をかざし、認証されると業務が遂行可能な状態となる。この際、業務内
容及び処理内容についてログが記録される。また、顧客情報を印刷する際に、プリン
タに接続されている指静脈認証装置で認証を行う。
業務の度に認証を行うため、部署ごとに認証を要求される頻度は異なり、総務など
バックエンド業務を行う職員は一日の認証回数は 10 回程度であるが、顧客対応を行
う職員は一日に 100 回程度認証を行っている。
また、指静脈認証の認証結果を用いて、顧客情報のアクセスコントロールも行って
いる。例えば、顧客情報の修正等は営業担当職員が行うことはできないように設定さ
れており、事務職だけが顧客情報の修正を行うことができる。また、重要な情報は役
員にだけ限定している。
生体情報の登録では、左右の指一指ずつを登録する。登録を行う際には、管理者用
の ID/PW を用いて行い、職員が自由に登録や再登録を行うことはできない。大熊本
証券では、複数の支店があり、支店職員の登録・再登録を行う場合には、管理者がリ
モートで登録・再登録許可の操作を行い、電話で指示を与えながら生体情報の登録を
行う。
56
職員の生体情報はサーバで管理しており、サーバはサーバルームの中に設置されて
おり、サーバルームは物理的な鍵を用いて施錠可能な状態となっている。
また、無停電電源により停電対策も行っているが、発電機までは設置していないた
め長時間の停電に対応することはできない。サーバは管理業者が遠隔で操作・管理を
行っている。
(3) ユーザに配慮した点
各職員のデスクに設置されるため認証装置が小さいもの、そして、一日に何度も行
われる株取引で認証を行うため認証にかかる時間が短いこと及び認証精度が高いこ
とを重要視した。株取引はスピードが重要なため、認証処理にかかる時間速度だけで
なく、認証時のエラーの低減も考慮した。
(4) システム管理に配慮した点
以前は大熊本証券の担当者がサーバの管理を行っていたが、現在はリモートで業者
が管理する仕組みとしており、業務の負荷が低減した。
(5) 運用状況
安定的に運用しており、特に問題はない。当面は現在のシステムを運用していく予
定である。
(6) システム導入の効果
指静脈認証装置を導入直後は、面倒などの苦情が職員の中にあったが、現在は職員
が十分慣れてきたため、このような苦情は無くなった。現在は認証を要しない簡単な
エクセル等の操作を行う際でも、認証装置に指をかざしてしまう人も多い。
また、指静脈認証システムを導入してアクセスコントロールやログの管理を行うよ
うになり、個人情報漏えいの心配は軽減した。加えてログの管理が簡便になり、業務
の負荷が低減した。
57
3.13 パワーリハ
(1) 導入の経緯
パワーリハでは、軽度の被介護者をターゲットとしたデイサービス事業を行ってい
る。
介護事業では以前から、介護保険制度における不正受給が社会問題化しており、対
策が求められていた。また、被介護者がフィットネスマシンを利用する際に、重量や
椅子の高さなどの調整や、フィットネスマシンを使った運動量(例えば回数など)を
測定して記録を個々に行う必要があり、これらをスタッフが行っていた。この結果、
マシン1台に1人のスタッフが付きっきりとなるため、人的リソースを多く必要とす
るとともに、業務効率の改善が求められていた。
そこで、被介護者の出欠管理も指静脈認証装置で行うとともに、指静脈認証装置付
きのフィットネスマシンとシステムを統合することで、不正受給問題の解決とスタッ
フの負荷軽減を実現した。
(2) 認証システムの概要
指静脈認証装置は、入り口に設置された出欠管理システムとフィットネスマシンに
備え付けられている。
被介護者は、送迎バスで施設に来ると、入口に設置された出欠システムに備え付け
られた指静脈認証装置に指をかざして認証を受ける。認証を行うと、サーバに保管さ
れている生体情報と照合し、出席を記録する。
図 3-15 入口に設置された出欠管理システム
58
フィットネスマシンを利用する際には、各フィットネスマシンに備え付けられた指
静脈認証装置に、利用者が指をかざして認証を行い、認証結果を基にサーバに記録さ
れている設定(重量や椅子の高さなど)に基づいてマシンの調整が行われる。
利用者がマシンを利用して行った運動量は記録され、サーバ内のデータベースに蓄
積される。
図 3-16 フィットネスマシンを利用している様子
生体情報は施設の事務室に設置されているサーバで管理し、管理者がアクセスでき
るようになっている。
(3) ユーザに配慮した点
フィットネスマシンが利用しやすくなるように配慮した。
フィットネスマシンに設置されている指静脈認証装置で認証を行うと、ユーザ毎の
フィットネスマシンの設定がネットワーク経由で自動的に行われて待ち時間が削減
された。また、運動量も自動的にネットワーク経由で蓄積され、あとで見やすい形で
閲覧することができる。
(4) システム管理に配慮した点
会員の個人情報は本部のサーバで管理し、漏えい対策を十分に行うようにした。ま
た、生体情報は出欠管理やマシンの調整などに用いるだけなので、各施設の事務室に
設置されたサーバ内で管理するようにした。
59
(5) 運用状況
安定的に運用されており、大きな問題はおこっていない。
(6) システム導入の効果
出欠管理システムや指静脈認証装置付きフィットネスマシンにより、被介護者の参
加率が正確に把握でき、不正受給に関する問題が解決した。
各フィットネスジムに配置されているスタッフの負荷が軽減されて、介護業務以外
の例えば営業などにスタッフが時間を割くことができるようになった。
生体認証付きのフィットネスマシンを導入したことで、被介護者の参加意欲が高ま
り、フィットネスマシンの利用率が向上した。現在では会員の 90%以上がフィットネ
スマシンを積極的に利用するようになってきている。
60
3.14 大垣共立銀行
(1) 導入の経緯
大垣共立銀行では、キャッシュカードを必要とせず、生体認証と暗証番号の組み合わ
せで残高照会や入出金を行うことができる手のひら認証 ATM を 2012 年 9 月 26 日か
ら導入開始し、各店舗等に配備を行っている。
2011 年 3 月 11 日に発生した東日本大震災の際には、大垣共立銀行では、衛星通信と
ATM を車載した移動型店舗レスキュー号の現地派遣などの被災地支援を検討した。そ
の検討の中で、被災地では、津波被害などにより銀行サービスを受けるためのキャッ
シュカードや通帳、印鑑などが紛失している人が多いことが課題であることがわかっ
た。今後東南海地震なども想定されていることから、震災発生時でも金融サービスを
提供できるよう、キャッシュカード等が無くとも利用できる手のひら認証 ATM の検討
を行うこととした。
図 3-17 レスキュー号
生体認証の中で、どの生体情報を用いるかについては、他人受入率や衛生面など様々
な選択肢について半年程度の検討を行った。その結果、富士通・沖電気と共同開発し、
2011 年 11 月に取扱を開始した Web-ATM との親和性などから富士通の手のひら静脈
認証を採用することとした。
2012 年度内に移動型店舗を含む 77 店舗に配備し、2013 年 9 月には大垣共立銀行の
全店舗および一部の店舗外 ATM に、手のひら認証 ATM を配備する予定である。
61
(2) 認証システムの概要
手のひら静脈認証装置は、ATM の操作画面の脇に設置されている。手のひら静脈認
証装置には、手をかざした際のずれ等による認証精度の低下を防止するためのフレー
ムが設置されており、手首の位置と中指の位置を固定できるような工夫がなされてい
る。
手のひら静脈認証で ATM を利用する場合、利用したいサービスを選択して「手のひ
ら認証」を選択する。その後に、生年月日(和暦)を入力し、手のひらを認証装置に
かざし、登録されている口座を選択して、暗証番号を入力する。手のひら静脈認証と
暗証番号による認証にパスすると、選択したサービスが利用できる。
手のひらをかざす前に入力する生年月日(和暦)は、センターで保有する複数の静脈
データから利用者の絞り込みのために用いている。これは手のひら静脈だけで認証を
おこなうことを考えた場合、認証の処理にかかる時間が長くなることを回避するため
の工夫である。また、他人受入率が低いとはいえ、1,000 万人中数人程度の他人受入が
発生するということがあり、金融機関という性質上、高い精度が求められることから 4
桁の暗証番号との組み合わせとした。これにより、不正な取引が成立する確率をほぼ
ゼロとなるように工夫している。
2012 年現在、手のひら認証 ATM で利用できるサービスは、ATM 取引の 7 割強を占
める入出金と残高照会で、今後は振込等にも対応することを検討している。
図 3-18 大垣共立銀行の手のひら認証 ATM の外観
62
図 3-19 ATM に設置されている手のひら静脈認証装置
生体情報の登録については、口座開設後、店頭の専用ブースで行う。利用者は、銀行
オペレータの指示に従い、登録用端末を用いて手のひら静脈の登録を行う。
(3) ユーザに配慮した点
震災時にはキャッシュカードと通帳のみならず口座情報にかかるメモ等も紛失した
ケースを想定しており、お年寄りも含め、誰もが忘れることのない和暦の生年月日 6
ケタを採用した。
また、利便性を重視して、生体情報の検索にかかる時間を 1 秒以下となるように設計
を行った。実際、ATM の画面は 4 秒以内で遷移するため、ユーザはストレスなく認証
を行うことができる。
利便性という面では、複数口座の保有者も考慮し、最大 5 口座まで登録できるように
設計を行った。
生体情報の登録についても 1 回の来店で実施できるようにし、怪我などをした場合を
想定し、両手の手のひらの登録を推奨している。この際、必要なものは運転免許証等
の本人確認資料のみで印鑑は不要とし、登録時間は 10 分以内で終了することを目標に
運用を行っている。また、生体情報の登録後、行員が付き添いながらお客さまに手の
ひら認証 ATM をご利用いただき理解度の向上に配慮している。
また、ショッピングセンター等に手のひら認証の登録端末を搭載したレスキュー号を
派遣しており、買い物のついでなどに手のひら認証 ATM の利用手続きを行えるサービ
スを実施している。
なお、大垣共立銀行では、ドライブスルー型の ATM を運用しているが、そこでも手
のひら認証 ATM を導入している。運転席から ATM を利用する際に、財布やキャッシ
ュカードの出し入れ等を行う必要が無く、利便性が高いものとなっている。
63
(4) システム管理に配慮した点
生体情報は行内に設置したサーバで管理を行っている。生体情報を記録した DB サ
ーバと、顧客情報を記録した DB サーバは別々になっており、これらを紐づけるため
の情報もこれらとは別に管理している。
システム構築にあたっては、金融庁の個人情報ガイドライン及び FISC の「金融機
関等コンピュータシステムの安全対策基準」を考慮し設計している。
(5) 運用状況
2012 年 9 月 26 日のシステム稼働開始からおよそ 2 ヶ月半で約 10,000 名の方が登
録しており、便利で安心との評価を得ている。今後は、全店舗への拡大を順次実施し
ていくとともに、一部店外 ATM にも導入を進める予定である。
