初めに 生体認証は 指や手のひらなどの体の一部や動作の癖などを利用して本人確認や識別などを行うメカニズムです このため パスワードや暗証番号のように忘れてしまったり IC カードや鍵などのように無くしてしまったりすることがなく 利便性の高いものとなっています このような利便性のため 各企業の社内管理

技術本部 セキュリティセンター

生体認証導入・運用の手引き

生 体 認 証 利 用 に お け る 注 意 点 と 利 用 事 例

初めに

生体認証は、指や手のひらなどの体の一部や動作の癖などを利用して本人確認

や識別などを行うメカニズムです。このため、パスワードや暗証番号のように

忘れてしまったり、IC カードや鍵などのように無くしてしまったりすることが

なく、利便性の高いものとなっています。

このような利便性のため、各企業の社内管理だけでなく、金融機関や遊園地、

病院、学校など様々なところで生体認証の利用が進んでいます。また、生体認

証を利用することで、これまでにない新しい利用方法が可能になり、更に便利

になってきています。

しかし、生体認証を便利に利用するためには、システムの設計時だけでなく、

運用時においてもいくつか考慮すべき点があります。

本書は、生体認証システムの導入を検討している企業などの情報システム担当

者を対象に、その導入・運用の手引きを示すものです。併せて生体認証システ

ムの導入・運用事例も示しており、実際の利用シーンやシステム設計・管理な

どの実例をイメージしやすいようにしています。

本書を参考にして、より一層安全で便利な生体認証の導入に繋がれば幸いです。

内容

1 生体認証の概要 ... 1 1.1 生体認証（バイオメトリクス）とは ... 1 1.2 生体認証の導入のメリット ... 1 1.3 生体認証による認証技術の概要 ... 2 1.4 生体認証による認証技術の種類 ... 4 1.5 ホワイトリスト／ブラックリスト方式 ... 10 2 生体認証システム構築と運用の留意点 ... 11 2.1 構築フェーズに係る事項 ... 11 2.2 運用フェーズに係る事項 ... 17 3 生体認証システム導入・運用事例 ... 19 3.1 佐賀県庁 ... 22 3.2 SBI 損保 ... 26 3.3 東陽倉庫 ... 29 3.4 明和地所 ... 32 3.5 三井住友銀行 ... 34 3.6 福岡メンテック ... 37 3.7 福岡県豊前市役所 ... 40 3.8 パナソニックＥＳネットワークス ... 42 3.9 東海地区信金共同事務センター ... 45 3.10 多久市教育委員会 ... 48 3.11 嬉野医療センター ... 51 3.12 大熊本証券 ... 55 3.13 パワーリハ ... 57 3.14 大垣共立銀行 ... 60

1

1 生体認証の概要

1.1

生体認証（バイオメトリクス）とは

生体認証とは、人の生体的な特徴・特性を用いて行う本人認証方式である。生体的な 特徴・特性を総称して生体情報と呼ぶ。生体情報には、指紋や顔など身体の形状に基 づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴がある。身体的特徴 は、常に本人の肉体に付随している。行動的特徴は、本人の癖であり、本人であれば 再現が可能なものである。 したがって、生体認証では、パスワードなどの記憶に基づく認証における「忘れる」、 「他人に知られて、悪用される」といった問題や、カードなどの所持に基づく認証に おける「紛失」、「盗難」、「置き忘れ」の問題を回避できることが多いと言われている （ただし、IC カードとの組み合わせにより生体認証を行う場合もあり、全てのシステ ムが該当するわけではない）。

1.2

生体認証の導入のメリット

生体認証の導入は、以下のメリットをもたらす。 ① 利便性の高い本人確認方法を提供できること 生体認証は、個人の身体的特徴や行動的特徴に基づいて行われるため、本人確認 時に利用者自身がIC カードの準備やパスワードを思い出すなどを行う必要が無 く、これらの紛失や忘却がないため、利用者にとって利便性の高い本人確認方法 である。また、運用においても、パスワードやIC カードの再発行といった手間 を削減できる。 ② システムごとに本人確認の精度を調整できること 生体認証は、予め保管されている生体情報とセンサから入力された入力データと を照合することにより本人確認を行う。この際、あらかじめ運用者が入力データ と保管データの類似判定を調整することにより、システム全体の目的に合致した 安全性と利便性を調整することが可能である。

2

1.3

生体認証による認証技術の概要

(1) 生体認証の仕組み 生体認証においては、入力特徴データと登録特徴データを照合してスコアを算出し、 類似度が高い場合に本人と一致するとの判定を行う。ここで、入力特徴データは、湿 度や気温等環境条件により異なるため、登録特徴データと完全に一致することはない。 そのため、入力特徴データと登録特徴データとの類似度のスコア計算結果は、あら かじめ設定された閾値（判定値）と比較され、本人との一致/不一致が判定される。 生体認証の処理の流れは、図 1-1 の通りである。 図 1-1 生体認証の処理の流れ (2) 閾値、本人拒否率及び他人受入率 生体認証において、どのように閾値を定めても、誤って他人を受け入れる可能性を 無くし、かつ誤って本人を拒否する可能性を無くすことはできない。生体認証におい ては、システムの目的に応じて、セキュリティと利便性の兼ね合いで適切な閾値の設 定を行う必要がある。

誤って本人を拒否する確率を、本人拒否率：FRR(False Rejection Rate)と呼び、誤 って他人を受け入れる確率を、他人受入率：FAR（False Acceptance Rate）と呼ぶ。

生体情報の入力 特徴抽出 登録データベース 登録特徴データ 照合（類似度の計算） 一致／不一致の判定 登録 生体情報 認証 登録特徴データ 入力特徴データ 登録時に 行う処理 認証時に 行う処理 生体情報の入力 特徴抽出

3 (3) 利便性と安全性のトレードオフ 一般に、本人拒否率を低く抑えようとすれば、他人受入率は高くなる。逆に、他人 受入率を低く抑えようとすれば、本人拒否率は高くなる。そして、本人拒否率が高く 他人受入率が低い場合、安全性を重視した認証であり、本人拒否率は低く他人受入率 が高い場合、利便性を重視した認証であるといえる（図 1-2 参照）。 図 1-2 閾値を変化させた際の本人拒否率および他人受入率と、安全性および利便性の関 係 (4) 未対応率 生体認証では、一部の人にとって利用できないケースが存在する。例えば指紋認証 では、職業がら指紋が薄く、装置で認識しにくい人などがこれに当たる。 このように、生体認証の装置あるいは生体認証のアルゴリズムが生体情報を認識で きない割合を、未対応率と呼ぶ。 カタログなどでは、生体認証装置で認識しやすい被験者で精度評価を行っている場 合もある。このため、生体認証システムの導入を検討する際には、対応できない生体 情報と未対応率を確認することが望ましい。

本人拒否率（％）

他人受入率（％）

安全性重視

利便性重視

本人拒否率（％）

他人受入率（％）

安全性重視

利便性重視

4

1.4

生体認証による認証技術の種類

(1) 指紋認証 (a) 概要 指紋は皮膚が線状に隆起した隆線（りゅうせん）が多数集まったものである（図 1-3 参照）。 オンラインマガジン「COMZINE」2004 年 3 月号 （http://www.nttcom.co.jp/comzine/no010/dragnet/）に一部加筆 図 1-3 指紋の隆線、分岐点、端点 指紋認証の方法は、指紋特徴点（マニューシャ）と呼ばれる隆線の分岐や終端 部分の位置・種類・方向等を計算する方式（マニューシャ方式）と、指紋全体を データ化しパターンマッチングする方式（パターンマッチング方式）に分けるこ とができる。 (b) 特徴 指紋認証の特徴は、以下に整理できる。  技術の成熟度が高い  水分や傷等に左右されることがある  導入コストが安い  指紋登録の困難な人が居る場合がある

5 (2) 静脈認証 (a) 概要 静脈や動脈などの血管のパターンは、唯一性と永続性を有する。さらには、体 の中の情報であるため、体の外からの覗き見されること、外的要因により変化す ることが少ないと考えられている。 静脈認証には、手のひら静脈認証、手の甲の静脈認証、指の静脈認証があり、 金融機関では、手のひら静脈認証と指の静脈認証の導入が進んでいる。 静脈認証の方式は、赤外線カメラにより手のひらや指を撮影し、その結果から 静脈のパターン（図 1-4 参照）を抽出する。抽出後の静脈のパターンのデータの 取り扱い方法は、指紋認証と同様に、マニューシャ方式またパターンマッチング 方式に分けることができる。 (a) 一般のカメラで撮影した 画像 (b) 赤外線カメラで撮影した 画像 (c) 手のひらの輪郭および 抽出した静脈パターン 図 1-4 手のひらの静脈パターン (b) 特徴 静脈認証の特徴は以下に整理できる。  偽造が困難である  導入コストが高い  登録不可能な人が少ない  認証精度が高い

6 (3) 虹彩認証 (a) 概要 眼球の黒目部分には、瞳孔の拡大や縮小のための筋肉から成る虹彩(アイリス) （図1-5 参照）と呼ばれる環状の部分がある。筋肉には細かい皺があり、この皺 は人が2 歳を迎える頃からほとんど変化しないことが知られている。虹彩認証は、 この皺のパターンをカメラで撮影することにより認証を行うものである。コンピ ュータで虹彩のパターンを抽出して認証する。 社団法人自動認識システム協会JAISA （http://www.jaisa.or.jp/action/group/bio/Technologies/Iris/Irs-00.htm）図１より引用 図 1-5 虹彩（アイリス） (b) 特徴 虹彩認証の特徴は、以下に整理できる。  他人受入率が低い  偽造が困難である  導入コストが高い

7 (4) 顔認証 (a) 概要 顔認証では、顔の形や目鼻などの位置関係を示す特徴的な点や輪郭線等を画像 認識技術により抽出し（図 1-6 参照）、特徴点間の距離や角度、輪郭線の曲率等 や、顔表面の色や濃淡等の特徴量により顔を識別する。 平成16 年度標準技術集「バイオメトリック照合の入力・認識」５－１－１－３－２ 顔特 徴点検出（http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijutsu/biometric/5-1-1.pdf）よ り引用 図 1-6 顔認証に用いる特徴点（例） (b) 特徴 顔認証の特徴は、以下に整理できる。  一般の利用者の登録時および認証時の負荷が少ない  角度により、本人を拒否する場合がある  数年で再登録が必要となる

8 (5) 音声認証 (a) 概要 音声認証は、音声信号を時間と周波数の分布で表したサウンドスペクトログラ ムあるいはこれと等価な情報を持ったパターンに変換し，そのパターンの比較に より、個人の照合を行う技術である（参照）。

Copyright (C) ANIMO LIMITED 2007 図 1-7 音声認証の個人パターン (b) 特徴 音声認証の特徴は、以下に整理できる。  マイクとソフトウェアの導入によりシステムを構築できるため、安価であ る  健康状態等により音声の波形が変化するため、その際には本人拒否や他人 受入の可能性が高まる  雑音により、本人拒否率が高まる場合がある

9 (6) サイン認証 (a) 概要 サイン認証とは、タブレットなどの座標入力装置上に筆記されたサインに関し て、ペン先の座標、筆庄等を一定時間間隔で収集して入力情報を獲得し、あらか じめ登録されている登録情報と照合することにより、本人を確認する技術である （図 1-8 参照）。 ウィッツェル株式会社ホームページ （http://www.witswell.co.jp/cybersign/wm/syogo.htm）より引用 図 1-8 サイン認証に用いるペンの位置と筆圧の変化 (b) 特徴  登録情報は、本人の意思により文字を変えることで別の登録情報に置換で きる  けが等により本人が署名不可能となる場合がある  他人のなりすましに関しては、他の生体認証より比較的容易である

10

1.5

ホワイトリスト／ブラックリスト方式

生体認証システムは、センサから入力した生体情報が、システム内部に保管されてい る生体情報と一致するか否かを判定する。判定は 2 種類に大別される。一方はカード やキー操作で、一致を判定する人物が一人指定される場合であり、照合（1:1 認証）と 呼ばれる。もう一方は、一致を判定する人物がリストとして複数指定される場合であ り、識別（1:N 認証）と呼ばれる。 識別の処理は、さらに、リストに登録されている人物の種類の違いにより二つの方式 に分かれる。権限を与えてよい人が登録されているホワイトリスト方式と、権限を与 えてはいけない人が登録されているブラックリスト方式である。 システム管理者は、システムが実現するアプリケーションに応じてホワイトリスト方 式とブラックリスト方式を適切に選択することが望ましい。 (1) ホワイトリスト方式 システム内部に保管されているデータベースに登録された生体情報と一致する生体 情報を持つ人に権限を与える方式である。あらかじめ登録を済ませた人にしか権限を 与えることができないので、限られた人にのみ権限を与えるシステムに適している。 登録人数が多くなるとシステム内部のデータベースに保管される生体情報が増える ため、登録されていない人の生体情報が、登録されている人の生体情報と偶然に一致 してしまう確率も増える。そのため、安全性を確保するためには、登録人数が多くな っても他人受入率が増大しないように技術的な配慮が必要である。 (2) ブラックリスト方式 システム内部に保管されているデータベースに登録された生体情報と一致する生体 情報を持つ人には権限を与えない方式である。権限を与えたくない人の生体情報のみ 登録すればよいので、権限を与えたい人が不特定大規模であらかじめ生体情報を登録 できないシステムに適している。 判定のために入力された生体情報がデータベースに登録されている生体情報と一致 しない場合は、すべて権限が与えられるので、安全性を確保するためには、本人拒否 率を低く維持するように技術的な配慮が必要である。

11

2 生体認証システム構築と運用の留意点

本章は、生体認証システムの構築に係わるシステム管理者およびシステムイン

テグレータを対象とする。内容は、システム構築に係わる基本知識および個別

対策と、システム運用に係わる基本知識および個別対策から成る。

2.1

構築フェーズに係る事項

(1) システムの目的の明確化と認証精度の設定方針の策定 設計を始める際には、生体認証を利用したシステムの目的と生体認証の使い方を明 らかにし、認証精度の設定方針を策定することが必要である。 例えば、データセンターのサーバルーム等における機密性の確保が優先される入退 室管理システムにおいては、一般に、入退室の手続きが複雑になっても、なりすまし を防止することが重要となる。逆に、企業における勤怠管理システムの場合、本人確 認を迅速かつ確実に行うことが重要となる。 このように、生体認証を利用するシステムの目的を明確にすることで、認証精度の 設定方針が決まる。本誌で取り上げている例では、以下のように、目的に応じた認証 精度とした設定例を示しているので、参考とされたい。 表 2-1 生体認証システムの認証精度設定例 事業者 生体認証の目的 認証精度 参照 佐賀県庁 PC ログインおよび庁内ポ ータルへのログイン （シングルサインオン） 他人受入率を低 く設定 3.1 節 (pp.23～29) SBI 損害保険株式会社 執務室内への入退室管理 他人受入率を低 く設定 3.2 節 (pp.26～28) 東陽倉庫株式会社 重要文書を保管する倉庫 への入退室管理 他人受入率を低 く設定 3.3 節 (pp.29～31) 株式会社三井住友銀行 ATM による生体認証によ る安全なキャッシュカー ドサービス 他人受入率を低 く設定 3.5 節 (pp.34～36) 株式会社ジェイアール 西日本福岡メンテック 従業員の勤怠管理 本人拒否率を低 く設定 3.6 節 (pp.37～39)

12 事業者 生体認証の目的 認証精度 参照 社団法人 東海地区信用金庫協会 東海地区信金共同 事務センター 共同事務センター内の 各部屋への入退室管理 他人受入率を低 く設定 3.9 節 (pp.45～47) 多久市教育委員会 小中学校のPC 教室におけ る児童生徒のPC ログイン 本人拒否率を低 く設定 3.10 節 (pp.48～50) 独立行政法人 国立病院機構 嬉野医療センター 院内電子カルテシステム へのログイン 他人受入率を低 く設定 3.11 節 (pp.51～54) (2) 生体認証装置の選定 生体認証には様々な種類があるが（1.4 節参照）、その性能は認証装置ごとに異なる。 そのため、生体認証システムを導入する際には、システムの目的に照らし適切な認証 装置を選択する必要がある。この際、以下の点を含めて検討することが望ましい。 1) システムの目的 2) 利用方法 3) 認証精度 4) 認証に要する時間 5) 認証装置の大きさ 6) 生体認証装置の設置台数と１台あたりの価格 7) ランニングコスト 8) 機器又はデバイスのサポート期間 9) サポート体制 (3) 認証精度の確保 生体認証において、認証精度は様々な条件により変化する。認証の対象とする生体 情報により違いはあるが、主に屋内での利用を想定する場合には、以下の事項に関し て、生体認証製品毎に条件を確認する。 1) 登録可能人数 2) 生体情報の利用可能年数 3) 被認証者による設定変更の可否 4) 照明による影響（照明により認証精度が影響を受けるか）

13 屋外での利用を想定する場合には、1)～4)に加えて、以下の事項に関しても製品ご とに条件を確認する。 5) 屋外での稼動の可否 6) 耐水性 7) 温度 8) 湿度 (4) 生体情報の保管 生体情報は機微情報であるため、その管理には十分な配慮を行う。 生体情報を保管する方法として、サーバ内、生体認証装置内、ユーザ管理デバイス （例えば、IC カードなど）などがある。それぞれのメリット・デメリットを以下に 示す。 表 2-2 生体情報の保管場所に係るメリット・デメリット メリット デメリット 組織内サーバ  特定の管理者が多数の生 体情報とその利用状況を 一括管理でき、責任の所在 が明確になる  一度に多数の生体情報が 漏えいするリスクがある  サーバルームの設置等費 用が発生する 外部サーバ  社内の管理体制を極小化 できる  特定の管理者が多数の生 体情報とその利用状況を 一括管理でき、責任の所在 が明確になる  一度に多数の生体情報が 漏えいするリスクがある  外部サーバの管理・運用が 適切に行われていること の実態を確認することが 困難である 生体認証装置内  ローカルで入退室管理等 が可能  一度に多数の生体情報が 漏えいするリスクは低い  製品によって記憶できる 生体情報の数が異なる  複数の装置を設置した場 合、それぞれの装置に対し て個別に生体情報の登録 を行わなくてはならない。 ユーザ管理デバイス内 （例えば、IC カード）  一度に多数の生体情報が 漏えいするリスクは低い  生体情報の管理責任が利 用者と管理者の間で不明 確になる  生体認証の利用のために、 ユーザがデバイスを持た なくてはならない。

14 また、生体情報の管理のために以下の機能を設定する。 1) 管理者を特定するための認証機能 2) 管理者のアクセスコントロールと権限設定 3) 生体情報の暗号化保存機能 (5) サーバルームの設置 生体情報をサーバで保管する場合、サーバルームの設置可否について検討を行う必 要がある。 サーバルームの設置可否については、以下の点を踏まえ検討を行う。 ① 利用者の規模 多数の利用者が想定される場合には、生体情報の漏えいのリスクを低減す るためにサーバルームを設置する。 中規模程度で利便性重視のシステムで、漏えい時のリスクが低いと考えら れる場合には、管理者がいる部屋にサーバを設置するなどしてもよく、必 ずしもサーバルームを設置する必要があるわけではない。 ただし、少人数の利用者しか想定されない場合でも、生体認証の利用目的 を考慮し、安全性を重視する場合にはサーバルームを設置する。 ② 生体情報漏えい時の訴訟等のリスク 一般のサービス利用者など、利用者の中に組織の外部の人が含まれる場合、 万が一生体情報が漏えいした場合には、訴訟に発展するリスクがあるため、 可能であればサーバルームを設置する必要がある。 サーバルームを設置する場合、停電対策のため無停電電源、可能であれば発電機を 備えるようにすることが望ましく、外部のデータセンターなどの利用も検討する。 (6) 登録・再登録の設計 生体認証システムを利用していく上で、生体情報の登録・再登録は重要なプロセス である。生体情報の登録・再登録をどのように行うかの設計に関しては、以下の点に ついて検討を行うことが望ましい。 (a) 登録・再登録の方法 生体情報の登録・再登録の方法として以下の２つの方法が考えられる。 1) 登録・再登録を行う利用者に対して、管理者などが付き添いながら行う方法 少数の利用者に対して定期的に登録・再登録が発生することが想定される 場合に向いている。管理者が指導しながら登録・再登録を行うことで、以 後、利用者が生体認証装置を適切に利用できるようになる。また、管理者 が本人確認を行いながら登録・再登録のプロセスを行うことができる。 一方で、頻繁に登録・再登録を行うような場合には、特別な体制や仕組み を整える必要がある。

15 2) 登録・再登録を行う利用者が自身で登録・再登録を行う方法 利用者が多人数のため頻繁な登録・再登録の発生が想定される場合に向い ている。この方法は、登録・再登録にかかるコストが低く抑えられ、認証 システムの運用を簡易にできるメリットがある。 この方法を採用する場合には、初回登録時はワンタイムパスワード等を発 行する、再登録の際は現在登録されている生体情報を用いるなどの方法で、 登録・再登録時の本人確認を実施する必要がある。 (b) 登録・再登録の工夫 生体認証システムの高い可用性を確保するために、以下の機能について検討を 行うことが望ましい。 1) 複数の生体情報の登録・再登録 例えば異なる２本以上の指を登録するなどしておくことにより、１つの指 で認証失敗が頻発する場合や、怪我等で一時的に利用できなくなった時で も、もう一つの指でスムーズに認証を行える可能性が高くなる。 2) 学習機能の追加 認証成功時の生体情報等を登録されている生体情報と取り換えるなどの簡 単なものから、照合を行う際のパラメータの調整を機械学習でチューニン グするなどの学習機能により、スムーズに認証を行えるようになる。 (7) 生体認証の代替機能 以下のようなケースが想定される場合には、生体認証の代替機能の検討を行う。 ① 生体認証が利用しにくい利用者が想定される場合 ② 生体認証以外の認証方法も利用者が選択できるようにする場合 生体認証の代替機能を提供する場合、暗証番号、ID/PW、IC カードの各認証方式等 が挙げられる。どれを選択するかについては、以下の点に留意して決定する。 1) 代替機能の実現手段の選択（生体認証では対応できない個人にも対応できる ことが必要である） 2) 代替機能の設定時における認証精度の変化（一般に、代替機能を設定した場 合でも、生体認証装置を用いた場合と同等の認証精度を実現することが望ま しい）

16 (8) 他の認証方式との組合せ 生体認証に加えて他の認証方式と組み合わせて利用することを検討する場合（例え ば、異なる生体認証の組合せ、ID/PW や IC カードとの組合せなど）、以下の点を考 慮して検討する。 1) 組み合わせる方式にかかる費用・運用コスト 2) 組み合わせる方式のベンダのサポート体制 特に、異なる生体認証方式を組み合わせる場合や IC カードと組み合わせる場合に は、予定しているシステム利用期間において、各機器・システムのベンダのサポート が可能であることを確認する必要がある。 (9) 生体認証装置の設置 生体認証装置を設置する場所について、期待される認証精度の確保と利用者の利便 性を実現するために利用する生体認証の種類に応じて以下の点を考慮して検討する。 1) 照明や直射日光などの影響を受けにくい場所 2) 利用者の身長差（特に男女の差）

17

2.2

運用フェーズに係る事項

(1) 実運用における検証 システムの運用に際しては、期待される認証精度が実システムで実現できているか の検証（テスト）を導入前に実施する。導入後は、認証ログの解析を定期的に行うな どして、期待される認証精度が実現されているかを確認する (2) 管理手順の策定 生体認証システムを構築するベンダ等の協力を得て管理手順を策定し、管理者運用 マニュアルを用意すると共に、管理者の教育を行う。管理者運用マニュアルには、運 用等に際しての留意事項として以下の項目を記載する。 1) 生体情報を含む個人情報の登録の手順  管理者がなすべきこと（対面や必要書類による本人確認の方法を含む）  利用者にお願いすること 2) 生体情報を含む個人情報の参照のための手順  参照可能とする範囲と要件  参照のための手続きと手順 3) 生体情報を含む個人情報の変更のための手順  変更する場合の要件  変更のための手続きと手順 4) 生体情報を含む個人情報の消去のための手順  消去の際の要件  消去のための手続きと手順 5) システム構成変更の手順  システム構成変更の要件  システム構成変更の手続きと手順 6) 定期的な認証ログの確認  認証ログの確認手順、分析方法、確認間隔  エラーや警告が発生していた場合の対処方法  期待される認証精度が実現されてなかった場合の対処方法 7) その他運用に際しての留意事項  生体認証失敗時（本人拒否時）における代替手段  事故発生時（他人受入の発覚時、システム故障時等）における対応方 法 (3) システムの設定や変更の作業自体のセキュリティ システムの設定や変更を行う際には、セキュリティに配慮することが必要であり、 以下の事項に留意する。

18 1) システムの設定変更を行うことが可能な端末を限定して管理者のみが設定 を行えるようにすること 2) 管理者の認証には、目的に応じて適切な手段を用いること  認証方法として、生体認証、IC カード認証、ID/PW 認証などが挙げ られる (4) 利用者の教育 利用者が生体認証システムを利用する前に、利用者の教育を行う。以下の項目を含 むものとし、実運用環境で行うことを重視する。また、利用者が多数となる場合には、 講習の実施、ビデオやパンフレットの作成・配付などが効果的である。 1) 生体情報の登録方法 2) 生体認証の利用方法 3) 生体認証失敗時（本人拒否時）の対応方法 (5) 監査 システムの目的として安全性を重視し、生体認証システムの導入を行っている場合、 定期的にシステム監査を実施することが望ましい。この際、組織で採用している情報 システム全体のシステム監査の一部に含めて実施してもよい。 生体認証システムに関する監査のポイントは、以下である。 1) システムの目的と管理者運用マニュアルの記載事項の対比 2) 管理者運用マニュアルと実際の運用の対比 3) 異動等に伴う利用者ごとのアクセス権限の整理 4) 他人受入れの発生率 (6) サポート体制の構築 生体認証システムの利用者が、一般職員などを対象として多数となる場合には、機 器の故障や認証に失敗するケースなど様々なトラブルに迅速に対応できるサポート 体制を構築する。例えば、ヘルプデスクの設置、問い合わせ窓口（管理者への連絡先 など）の明示などが挙げられる。 (7) 認証精度を確保するための外部環境の工夫 生体認証システムを運用している中で、期待される認証精度を実現できていないこ とが、検証におけるログの解析などで確認された場合、生体認証装置周辺の環境を調 整することを試みる。 例えば、以下のような方法が挙げられる。 ・照明の向きを変えて、生体認証装置に直接光が当たらないようにする

19 ・カーテンやブラインド等を窓に設置して、直射日光を遮る

3 生体認証システム導入・運用事例

本章に収録した実例は、国内に導入、運用されている事例のうち、できるだけ

多くの適用種別、および、使用する生体部位の種類を含み、かつ、異なるユー

ザ規模を含むように選択した。何れも、生体認証を導入、運用した組織・団体

にヒアリング等を行い、システムの概要や運用状況、そして、ユーザやシステ

ム管理に配慮した点等を確認した。

表 3-1 生体認証導入・運用事例一覧 適用種別 生体識別部位 （モダリティ） 組織名 システム概要 ユーザ 規模 PC ログイン 指紋 佐賀県庁 県内関係機関を結ぶネットワーク を充実させ、職員一人に一台の PC を配備。各PC から庁内電子システ ムにログインする際、利用者確認の ために指紋認証を導入。 大 入退室管理 （オフィス） 虹彩 指静脈 SBI 損害保険 株式会社 ヘッドオフィスのオフィス、会議 室、サーバルームなど、オフィスの あらゆる場所への入室に虹彩認証 を導入。サテライトオフィスには指 静脈認証を導入。 小 入退室管理 （セキュリ ティエリア） 手のひら静脈 東陽倉庫 _株式会社 機密文書、重要文書を保管する倉庫 の入退室管理に手のひら静脈認証 を導入。IC カードとの併用、専用 LAN を用いたネットワーク構成等、 頑強なセキュリティを構築。 小 入退室管理 （マンショ ン） 指紋 手のひら静脈 音声 明和地所 株式会社 マンションの共用玄関やエレベー タホールでの入居者確認に生体認 証を導入。導入された生体認証は、 指紋認証、手のひら静脈認証、音声 認証。 中 金融 サービス 指静脈 株式会社 三井住友銀行

ATM（Automatic Teller Machine） の取引の利用者確認に指静脈認証 を展開。生体認証機能付きATM を 全国に約5,800 台配置。 大 出退勤管理 顔 株式会社 ジェイアール 西日本 福岡メンテッ ク 従業員の出退勤管理と作業割当の 効率化を目指し、顔認証システムを 導入。4 台の認証端末を用いて、出 退勤管理を実現。 中

20 適用種別 生体識別部位 （モダリティ） 組織名 システム概要 ユーザ 規模 システム ログイン 指静脈 福岡県 豊前市役所 情報漏洩に対する危機意識の下、職 員の意識向上、トレーサビリティの 強化を目的として、職員ポータルへ のログイン、基幹系、内部系業務の 個人識別に生体認証を利用。 中 入退室管理 （セキュリ ティエリア） 虹彩 指紋 パナソニック ES ネットワ ークス株式会 社 虹彩認証および指紋認証システム を導入。 「見せるセキュリティ」というコン セプトの下、社内のセキュリティシ ステムを開示し、営業的効果を発 揮。 小 入退室管理 顔 社団法人 東海地区信用 金庫協会 東海地区 信金共同事務 センター 顔認証システムによる入退室管理 と監視カメラによる入退室確認を 連 携 し た 入 退 室 管 理 シ ス テ ム を 2008 年から導入。 中 PC ログイン 顔 佐賀県多久市_{教育委員会} 佐賀県多久市の各小中学校のPC 教 室及び電子黒板用PC に設置されて いる PC のログインに顔認証を導 入。 大 システム ログイン 指静脈 手の甲静脈 独立行政法人 国立病院機構 嬉野医療 センター 医療スタッフが日常的に利用する 院内電子カルテシステムに指静脈 認証システムを導入。また、サーバ ルームなど重要施設には手の甲に よる静脈認証システムを導入。 大 システム ログイン 指静脈 大熊本証券 株式会社 システム操作のアクセス権限、操 作内容のログ管理などを徹底する ため、指静脈認証システムを導入。 主に株式売買や営業職員など、証 券業務に携わる職員が主に利用。 小 フィットネ スマシン 管理 指静脈 _{パワーリハ} 株式会社 介護向けフィットネスジム施設に 指静脈認証装置付きのフィットネ スマシンを導入。同マシンは、認 証をパスすると機器が自動的にそ の人の設定に調整される。 中 サービス 手のひら静脈 株式会社 大垣共立銀 行 キャッシュカードを用いないで、 手のひら静脈認証と暗証番号か ら、残高照会、入出金を行うこと ができるATM を導入・展開。 大

21 小：100 人未満、中：100 人以上 500 人未満、大：500 人以上 以降、組織名としては次のように記す。 SBI 損害保険株式会社：SBI 損保 東陽倉庫株式会社：東陽倉庫 明和地所株式会社：明和地所 株式会社三井住友銀行：三井住友銀行 株式会社ジェイアール西日本福岡メンテック：福岡メンテック パナソニックES ネットワークス株式会社：パナソニック ES ネットワークス 社団法人東海地区信用金庫協会東海地区信金共同事務センター： 東海地区信金共同事務センター 佐賀県多久市教育委員会：多久市教育委員会 独立行政法人国立病院機構嬉野医療センター：嬉野医療センター 大熊本証券株式会社：大熊本証券 株式会社パワーリハ：パワーリハ 株式会社大垣共立銀行：大垣共立銀行

22

3.1

佐賀県庁

(1) 導入の経緯 佐賀県庁では、庁内情報システムのシングルサインオンに指紋認証システムを採用 している。 自治体では、住民の個人情報や機密情報を多数保有しており、安全に管理すること が望まれている中、佐賀県庁は、2004 年に職員が利用する PC のセキュリティを確 保するために、利用者確認の方法を検討した。 検討においては、利用者確認における他人なりすましの防止とともに、実際に運用 可能か否かという点を重視した。パスワードに基づく方式では、セキュリティ確保の ために長いパスワードを設定すると記憶が困難になること、そして、忘却するとログ インができなくなるということを問題と考えた。また、IC カードや USB デバイスを 用いる方式では、他人との間で貸し借りが可能であること、再発行の際に手間とコス トがかかることが問題であると考え、最終的に生体認証を導入することを決定し、 2005 年、運用を開始した。 (2) 認証システムの概要 佐賀県庁では、正規職員及び臨時職員（非常勤嘱託）約4,000 名が生体認証システ ムを利用し、庁内イントラネット（職員ポータル）に接続された各システムをシング ルサインオンで利用している。 生体認証装置は、各職員が利用するPC に USB ケーブルで接続されており、PC 起 動時のログインの際に利用して認証を行い、庁内イントラネット（職員ポータル）を 通じて接続されているシングルサインオンサーバによって認証を受けると、PC にロ グインするとともに、各庁内システムへのログインも可能となる。 図 3-1 佐賀県庁指紋認証システム構成

23 生体情報は、外部のデータセンターに設置しているサーバ上で管理している。生体 情報の消去などの管理は、県庁側の管理者がリモートで行えるようになっている。 生体情報（指紋）については、10 本の指全て登録することが可能であり、けが等で 特定の指が使えなくなることを想定し、最低3 本の指を登録することを推奨している。 初回の登録は、初期パスワードを発行し、職員がログイン後、マニュアルを見ながら 自分で生体情報の登録を行う。２回目以降の再登録では、現在登録されている生体情 報を基に認証を受けた後、職員が自ら新たな生体情報を登録する。 (3) ユーザに対して配慮した点 システム設計時に、以下の点に配慮した。  指紋認証を利用することによる職員の心理的抵抗感の低減  全職員を対象にすることによる登録拒否率の低減  登録される生体情報を他の目的で利用されないかといった不安感の払拭  偽造に関する不安感の低減 生体認証の利用者となる県庁職員に理解と協力を求めるため、システム導入3 ヶ月 前と2 週間前に、全職員を対象として生体認証の方式と導入に関する説明会を実施し た。説明会に向けては、操作のポイントをわかりやすく解説したビデオファイルやパ ンフレット（図 3-2）を用意し、職員に配布した。

24 佐賀県庁 提供 図 3-2 生体認証の説明パンフレット 実際のシステムにおいても、ログイン画面に表示される指紋情報の入力部分を網掛 け表示にするなど、利用者に配慮した工夫を凝らしている。 運用においては、電話による問い合わせ対応を行うと共に、認証ユニットやケーブ ルの不具合には新品交換、使い方の個別説明を行うヘルプデスクを用意している。ヘ ルプデスクは外部に委託している。 (4) システム管理に配慮した点 特に、生体情報の管理に配慮した。指紋センサには、残留指紋が残らないスイープ 型感熱センサを採用し、システム内部にも指紋画像が残らないように、指紋画像を特 徴情報に変換して使用するシステムとした。指紋の特徴情報から元の指紋画像を復元 することも不可能である。

25 (5) 運用状況 導入前には指紋認証に抵抗感を示す職員もいたが、説明会の実施やヘルプデスクに よる個別対応により、全職員の理解が得られ、特に問題なく、良好に稼動している。 2012 年現在、生体認証装置の経年劣化に伴い、新しい装置への移行を徐々に進めて いる。新しい生体認証装置の入れ替えに伴い、これまで生体認証でうまく認証が行わ れなかった職員も減ってきている。 (6) システム導入の効果 パスワード方式を採用していた時には、パスワードは各自で定期的に変更すること を義務付けていたが、なかには簡単なパスワードを使い続ける場合があるなど、パス ワード管理の煩雑さやセキュリティ上の課題があった。生体認証システムの導入によ り、職員の負担軽減及びセキュリティの向上につながっている。

26

3.2

SBI 損保

(1) 導入の経緯 SBI 損保では、本社オフィスやサテライトオフィスの各部屋やサーバルームへの入 退室管理に生体認証を導入している。本社オフィスには虹彩認証を、サテライトオフ ィスには指静脈認証を採用している。 SBI 損保では、損害保険という商品の性格上、個人情報等の機微情報を多く抱えて いる。そこで、個人情報や企業の重要な情報の管理に対する意識が高まっていること を背景として、SBI 損保では電子的セキュリティの強化に加え、社内のオフィス、会 議室、サーバルーム等の入室に対しても、本人確認の強化を検討した。 入室管理システムはオフィスのあらゆる場所に配置し、常に運用する。そのため、 SBI 損保では、主として利便性の観点に立ち、紛失や忘却の心配がなく、人間が常に 備えている生体情報を用いた生体認証を導入することを決定した。まず、2007 年 5 月から本社オフィスにおいて虹彩認証システムの運用を開始した。 業績拡大とともに社員数が増加してサテライトオフィスも２拠点になり、本社オフ ィスと同様に生体認証システムの導入を検討したが、導入している虹彩認証システム 開発ベンダが、今後虹彩認証システムの販売を行わないことを発表したため、別の認 証システムの導入を検討した。 いくつかの選択肢の中で、他人受入率が低く、価格、サポート、評判などを基にサ テライトオフィスには指静脈認証システムの導入を決定した。特に、虹彩認証システ ムについて販売が停止された経験から、ベンダサポート停止のリスクを小さくするた め、どの程度普及しているか、また評判がよいかを重視した。 このため、現在では本社オフィスは虹彩認証、サテライトオフィスは指静脈認証、 という２つの生体認証システムを運用している。 SBI 損保では現在、本社オフィスで 60 人、サテライトオフィスで合計 420 人の社 員が生体認証システムを利用している。今後も新たなサテライトオフィスを設置した 際には、その入退室管理システムに指静脈認証システムを導入していく予定である。 (2) 認証システムの概要 生体認証装置は、本社オフィスとサテライトオフィスの各室の扉に設置している。 何れも建物内部にあり、直射日光等が当たることはない。 本社オフィスでは虹彩認証システムを運用しており、虹彩認証装置の前の適正な位 置に立つと、音声による案内がなされる。そして、生体認証センサに目を合わせると 自動的に認証処理が行われ、認証が成功すると開錠する（図3-3 生体認証装置利用例）。

27 図 3-3 生体認証装置利用例 サテライトオフィスでは指静脈認証システムを各部屋の扉脇に設置し、社員は指を 認証装置にかざして、認証が成功すると扉の鍵が解錠され、室内に入室できる。 利用者の生体情報は、本社オフィスのサーバルーム、もしくは、サテライトオフィ スに配置された登録用の生体認証装置を用いて登録する。虹彩認証システムでは、登 録した生体情報をサーバと各扉の生体認証装置で多重に保管している。各生体認証装 置で読み取った生体情報は、各装置内で照合するので、サーバとの通信による遅延は ない。なお、各生体認証装置において保管している個人の生体情報は、暗号化してお り、各生体認証装置上においても安全に保管されていると言える。 サテライトオフィスに設置されている指静脈認証システムでは、登録用端末で登録 した生体情報を、個々人の入退室制限情報を設定し、各認証端末に転送して、端末内 部で生体情報を保管する。指静脈認証装置はスタンドアローンで動作しており、生体 情報は暗号化して保管され、停電時は消去される仕組みとなっている。 (3) ユーザに対して配慮した点 日常的に生体認証を利用するため、特に、使い勝手についても配慮している。虹彩 認証装置は、男女の身長差を考慮し、およそ 150cm の高さに設置した。背の高い人 は、装置に付属するカメラ部分を上向きにすることで利用できる。また、装置には、 適正な立ち位置を判断するインジケータも用意されている。さらに、目に疾患を持つ 社員でも、認証がスムーズに行えるよう、片方の目のみでの認証も可能とした。 指静脈認証システムでは、処理速度と安全性向上を目的としてグループ ID との組 み合わせで利用する形態を採用した。

28 (4) システム管理に配慮した点 生体認証にかかる運用時の負担を軽くすることに配慮している。具体的には、各拠 点で生体情報の登録を行うようになっており、サテライトオフィスの社員がメインオ フィスに出向くコストを低減している。また、ユーザの登録・削除を厳密におこなっ ており、見直しを月１回（入退社登録時）実施し、加えて棚卸と呼ぶ年１回の異動等 も考慮したユーザの登録情報の確認作業を実施している。この棚卸の作業は、社内申 請書類、台帳、システム状況などを突合し、不備があった場合には登録訂正を行う。 棚卸の作業は２週間程度かけて実施している。 (5) 運用状況 これまでのところ良好に稼動しており、特に問題は発生していない。 虹彩認証システムの稼動当初、設置した生体認証装置の一つが、良好に認証できな かったが、その装置付近の天井のスポット光の向きを変えることで、スムーズに認証 が行えるようになった。 (6) システム導入の効果 虹彩認証の導入によって、社内のセキュリティ管理が向上した。 メインオフィスでは、運用面からはカード発行などの手間がないこと、利用面から は手を使う必要がないことなどにより、便利さを実感している。

29

3.3

東陽倉庫

(1) 導入の経緯 東陽倉庫では、機密文書の管理を行う倉庫への入退室者を確認するために、手のひ ら静脈認証を導入した。 近年、個人情報や機密文書の管理への意識が高まり、個人情報や機密情報を電子化 し、電子的に高セキュリティな環境での管理が行われている。一方、重要な文書の中 には、書類自体に物理的に価値があり、電子化困難な場合もある。東陽倉庫では、そ のような電子化困難な重要文書を管理するセキュリティの高い倉庫の建設を検討し た。 倉庫のセキュリティ確保にあたっては、倉庫の設計の段階から検討を開始した。検 討にあたってはIT 技術を導入することを必須とし、IT セキュリティを検討する数社 と検討を重ねた結果、検討時における最適なセキュリティとして、IC カードと生体 認証を組み合わせて入退室管理システムを構築することを決定した。 本倉庫は2006 年 10 月から運用を開始している。 (2) 認証システムの概要 東陽倉庫が新たに建設した建物は6 階建てで、2 階以上が倉庫になっており、生体 認証装置は、倉庫がある各階の入口に設置されている。入口には入室用の扉があり、 扉の外側の脇には入室用の認証装置を、扉の内側の脇には退室用の認証装置を配置し ている。（図3-4、図 3-5）。 図 3-4 倉庫階入口外観

30 図 3-5 手のひら静脈による本人確認 認証装置を設置した環境は、何れも建物内部に相当し、照明は一定の状態に維持さ れている。 入退室の本人確認は、IC カードと生体認証の併用である。認証装置は、IC カード 認証機能と手のひら静脈認証機能を兼ね備えており、先ず、IC カードを提示して IC カード認証を行った後、手のひらをかざして生体認証を行う。 利用者の生体情報は、厳重に管理された2 台のサーバで管理している。倉庫の各認 証装置とサーバとは、社内の LAN とは独立した LAN で接続されており、生体認証 の照合はサーバ上で行われている。 本生体認証の利用規模は30 名を想定しており、現時点では倉庫関係者約 20 名が利 用している。 (3) ユーザに対して配慮した点 本システムの運用開始に合わせて、利用者には、事前に1 日程度の実践練習会を実 施した。常日頃、社内でセキュリティ教育を実施しているため、生体情報という機密 情報の取り扱いについても高い理解が得られた。 利用者は男女をともに含むことから、認証装置を設置する高さは、男女双方の身長 を配慮して決定した。生体認証装置自体も、手を乗せる小さな台があり、そこに手を 乗せることで容易かつ適切に手をかざすことができる。センサ部に直接、接触しない 認証方式を選んだことにより、衛生面においても利用者の理解が得られた。

31 (4) システム管理に配慮した点 システム管理においては特に生体情報の紛失や漏洩への対策を強化した。生体情報 を管理するサーバは専用のサーバルームに配置している。サーバルームへの入退室は IC カードによって本人確認を行うようにし、特定の社員以外は入れないようにして いる。生体情報を管理するサーバも2 台を用い、多重管理により信頼性を高めている。 (5) 運用状況 認証失敗が多発する利用者に対しては、認証装置の利用に対する再説明をするとと もに、再登録を行う。再説明、再登録後は、何れの利用者も問題なく認証できている。 初めて訪れた運送業者が本倉庫の高セキュリティシステムに戸惑うことがある。そ の際は、本倉庫のセキュリティの高さを説明し理解を得ている。一貫して、運用後も、 導入当初に立てたセキュリティポリシーの維持を徹底している。 導入後5 年を経過し、認証時に時間がかかる等の問題が発生し始めた。本件につい ては、納入ベンダに対して改善要望を行っており、近く解決する予定である。また、 導入後 5 年で機器の障害率が上がることを導入前にベンダから説明を受けているた め、生体認証装置の入れ替えも検討している。 (6) システム導入の効果 生体認証の導入より、倉庫へ搬入、搬出を行う保管文書をはじめとする荷物の管理 の徹底が実現した。 セキュリティの高さは書類を預ける人への安心感につながっている。

32

3.4

明和地所

(1) 導入の経緯 明和地所では、マンションにおける入居者の確認のために、指紋認証、手のひら静 脈認証、音声認証を導入した。 近年、国内において凶悪犯罪が増加しつつあり、一般住居のセキュリティ向上につ いて意識が高まっている。明和地所では、マンションを建設・販売するにあたり、安 全性の高い物件を提供するため、セキュリティの高い共用玄関の設置を検討した。 マンションの共用玄関は、そのマンションの住民が、日常生活の中で利用する。そ のため、セキュリティの確保に加え、利便性も高いことが要求される。そこで、鍵を 不要としながらも、セキュリティを確保できる本人確認の方式として、生体認証を導 入することを決定した。 (2) 認証システムの概要 生体認証装置は、マンションの共用玄関、もしくは、エレベータホールに配置して いる。入居者は、入居者確認の方法を、従来の方法か生体認証かのどちらかを選択で きる。生体認証を共用玄関で実施するケースでは、生体認証によって玄関内部に入る ことができ、エレベータホールに配置しているケースでは、他の階で停止しているエ レベータをエレベータホールのある1 階に呼び出すことができる。 指紋認証もしくは手のひら静脈認証を導入しているマンションでは、生体認証と暗 証番号による認証を併用する。また、音声認証システムを導入しているマンションで は、あらかじめ緊急キーワードを登録しておけば、認証用のマイクに登録した緊急キ ーワードを発声することにより、警備会社に連絡することができる。 生体情報の登録は説明者が立会う。その機会も繰り返し設けている。生体認証シス テムのメンテナンスは、マンションの竣工後年１回、また、状況によってはマンショ ンの管理者の判断のもとで、必要に応じて行っている。 (3) ユーザに配慮した点 生体認証の使いやすさに配慮した。具体的には、生体認証付き入退室管理装置の設 置にあたって、入居者の年齢や身長に配慮した。 (4) システム管理に配慮した点 生体情報の管理に特に配慮している。登録された生体情報は各物件の特別な場所に 設置されたコンピュータ内に格納し、限られた人間にしか操作できないように管理・ 運用を行い、生体情報の漏洩・盗難に配慮した。

33 (5) 運用状況 生体認証システムを導入したマンションは、関東に9 物件あり、512 世帯が利用し ている。現時点では生体認証の利用頻度はあまり高くない。しかし、入居者より、鍵 を忘れてオートロックのドアの外に出てしまっても、生体認証により入館できたとい う報告が多くあり、生体認証が「第二の鍵」であるという理解が増えつつある。 (6) システム導入の効果 生体認証を導入することで、確かな防犯対策を実現できたと同時に、安全へ配慮し た共用玄関に対する理解が高まり、マンションの販売促進にも効果があった。

34

3.5

三井住友銀行

(1) 導入の経緯

三井住友銀行は、ATM（Automatic Teller Machine）における利用者確認のために 指静脈認証を導入した。 2003 年、キャッシュカードのスキミング犯罪が多発し、国内の金融機関は金融商品 のセキュリティ向上への意識が高まった。そこで、三井住友銀行はキャッシュカード を、偽造が困難な IC カードにすることを決定し、さらに、本人確認も強化すること を検討した。 キャッシュカードの利用者は、子どもからお年寄りまで幅広く、特に年齢制限がな い。そのため新規に導入する本人確認は、誰もが直感的に利用できることが望まれた。 さらに、カード同様、偽造が困難な方法であることも望まれた。以上の条件を総合的 に判断し、最終的に生体認証を採用することを決定した。 (2) 認証システムの概要 三井住友銀行では IC カードをキャッシュカードとして用い、このカードを使用す るためには、カードへの生体認証情報の登録を必須とする商品を展開した。このカー ドを使用する際は、先ず、ATM へカードを挿入し、次に、ATM のタッチパネルの脇 に配置された生体認証センサに、指をかざす（図3-6 生体認証機能付き ATM 使用例）。 （Copyright 2008, 三井住友銀行） 図 3-6 生体認証機能付き ATM 使用例

35 生体情報の登録は行員の説明のもとに本・支店窓口で行う。登録の際の本人確認は、 運転免許証等の公的な本人確認書類をもとに行う。登録する生体情報は生体認証機能 付きIC キャッシュカードの IC チップに記録される。認証時、ATM の生体認証セン サにより取得した生体情報はキャッシュカード内部に送り込まれ、カード内に記録さ れた生体情報とカード内で照合される。カードの外部には照合結果しか出力されない。 照合に成功したという結果は、ATM を経由して銀行のメインサーバに送信され、取 引を開始することができる。 生体認証機能付きATM は、全国で約 5,800 台配置されている。また、登録用とし ては全国の本・支店窓口に約1,000 セットが配置されている。 (3) ユーザに配慮した点 三井住友銀行は、広範囲の年齢層の顧客に生体認証を理解してもらえるよう、サー ビスおよびシステムをシンプルに構築するよう努めた。そのため、生体認証機能付き IC キャッシュカードを利用するためには、カードへの生体認証情報の登録を必須と した。このカードを利用して残高照会や出金を行う際は、必ず生体認証を行うことと なるため、他行ATM との相互利用や生体認証を備えたＡＴＭを多数設置することで、 生体認証を利用する顧客に不便を感じさせないようにした。 キャッシュカードの利用者が紛失等による再発行を行うケースは多くはないため、 生体認証機能付きキャッシュカードの長期的な利用を想定し、生体の経年変化がほと んどないことを確認のうえ、指静脈認証システムを採用することとした。 生体認証の利用方法についても、顧客に十分理解いただけるよう配慮している。す なわち、説明を行う行員が自ら生体認証に精通するよう、導入1 ヶ月程度前から、ビ デオ映像などを用いた勉強会を開催し、実際に利用する演習も実施した。 また、生体認証機能付きキャッシュカード利用者の負荷軽減を目的の一つとして、 生体認証機能付きキャッシュカード等の即時発行サービスを、来店顧客の多い３店舗 （新宿西口支店、横浜駅前支店、難波支店）で、2012 年 2 月から試行実施している。 生体認証機能付きキャッシュカードを通常発行する手続きでは、生体情報の登録を行 うために利用希望者が2 回来店する必要があり、このような負荷を軽減することによ り生体認証機能付きキャッシュカードの申込増加や顧客満足度の向上に繋がるか等 を検証している。 (4) システム管理に配慮した点 三井住友銀行が採用する指静脈認証システムでは、赤外線センサを用いて指の静脈 情報を抽出するため、生体認証センサへの直接光に弱い。そのため、周囲の照明に配 慮した。 生体認証の認証精度に関する評価テストも、システムベンダと協力して実施してい る。

36 (5) 運用状況 現時点では、導入後、認証に支障を来たしたことはなく、良好に稼働している。 当初懸念された生体認証機能付き ATM の数についても、サービスの充実を目的と して既存のATM の生体認証機能付き ATM への転換を進めたことにより、生体認証 機能付きATM の配備が足りないという顧客の不満はほぼ解消している。 (6) システム導入の効果 生体認証機能付き IC カードを導入したことで、安全性の高いサービスを提供でき た。また、比較的早い時期に生体認証を導入したため、セキュリティへの積極的な取 組みについて、多くの顧客の理解を得ることができた。

37

3.6

福岡メンテック

(1) 導入の経緯 ジェイアール西日本福岡メンテック（以下、福岡メンテック）では、従業員の出勤 管理と正確な従業員配置、及び、当該作業の負荷軽減を目的として、顔認証システム を2007 年に導入した。 福岡メンテックは、新幹線の車両庫であるＪＲ西日本博多総合車両所において、新 幹線車両の清掃・整備および検査・修繕に係る業務を実施している。多数の新幹線車 両に対して、これらの業務を実施するためには、従業員の確保と最適な作業配置が求 められる。福岡メンテックでは、これまで面着板と呼ばれる、掲示板と名札を用いた 出退勤管理と作業割り当て表の作成・開示を行っていた。しかし、面着板の管理のた めに従業員2 名を配置し、翌日分 450 名の面着板の作成に毎回 1 時間程度を要してい た。このため、面着板の作成に係るコストの削減と確実な出退勤確認の実施が求めら れることとなり、生体認証システムを用いて電子化を行い、省力化を図ることとなっ た。 顔認証システムの選定においては、福岡メンテックの関係各社を訪問し、生体情報 の読み取り性能や端末の反応速度などを考慮し、想定するアプリケーションが勤怠管 理であることを踏まえて決定した。 (2) 認証システムの概要 顔認証装置は、事務室の入り口に4 台設置している。顔認証装置が設置された端末 4 台は、事務室内にある 2 台のサーバにネットワーク接続されている。サーバでは生 体情報である顔画像（写真）を管理するとともに、システム管理端末上で作成した作 業割当表を管理する。また、作成された作業割当表は、従業員の休憩室に設置された 大型ディスプレイに投影されるようになっている。 事務室内に設置された2 台のサーバは 2 重系とし、ミラーリングにより生体情報等 の消失等の可能性を低減し、常時稼動を実現するようになっている。このほか、サー バは給与管理を行う基幹系システムと接続し、基幹系システムに出退勤状況を通知す るようになっている。 システム設計時には、最大1000 人程度の登録を想定し、現状では 600 名の社員・ 作業員（アルバイト含む）が登録を行っている。 生体情報の登録は、認証用の端末で実施し、認証用端末の近くに座席を持つ管理者 がナビゲートしながら行う。また、認証時の生体情報の取得失敗を避けるため、画面 上にナビゲーションを表示する工夫がなされている。 福岡メンテックが導入している顔認証システムでは、認証成功時に取得した顔画像 を認証用の生体情報として登録していき、学習機能により認証精度が安定するように 工夫がなされている。この結果、97～98％の確率で本人を確認することができている。

38 図 3-7 顔認証システムを用いた認証 福岡メンテックの顔認証システムは、勤怠管理と作業割当表の作成を目的としてい るため、認証失敗（本人拒否）時には、候補者一覧が画面上に表示される。従業員は、 そのリストの中から自身の名前を選択することで、出勤したことをシステムに伝える 仕組みとなっている。この際、取得した顔画像も生体情報として登録し、次回認証時 に利用する。 (3) ユーザに対して配慮した点 認証システムの選定においては、写真撮影等のなれを考慮して従業員の心理的障害 が少ないこと、認証に係る時間が1 秒程度と短いことなどから顔認証システムを導入 することとした。 導入前、従業員には、顔認証システムを導入することの告知を行った。システム管 理を行う管理者には1 日程度の講習を実施した。また、システム導入時の混乱を低減 するため、面着板と顔認証システムの並存期間を1 ヶ月程度設けた。 導入後、認証精度を向上させるために、認証に用いる顔画像は複数枚サーバに保管 しておき、認証を行う際には、前回の認証時に成功した画像を1 番はじめに用いる様 に、システムの改修を行った。また、従業員従業員の認証に係る負担をさらに低減す るために、認証端末画面に表示される顔画像を大きくすると共に、認証時にナビゲー ションを表示し、適切な位置に移動しやすいようにした。

39 (4) システム管理に配慮した点 システム設計時に、氏名と生体情報を暗号化して保管することと、3 ヶ月に 1 度あ る停電時に自動で起動するように設計を行った。 システム導入前には、認証精度の確認を実施し、システム稼動後も含めて、システ ムの改修を実施して認証率の向上をはかった。 また、システムの導入を行ったベンダの社員が、システムが不慮の停止をした場合 には、すぐに対応できるような体制が取られている。 (5) 運用状況 導入当初は、認証率に不満があったが、システム改修により性能が向上し、現在で はほぼ正確に認証ができるようになっている。 また、現在据え置きのPC に PC カメラを設置して認証装置を構成しているが、ほ こり等がたまり故障する危険性があるため、扇風機を用いてほこりがたまりにくいよ うにしている。カメラ付きのモバイル端末が市場に出回っていることから、現在据え 置きのPC からカメラ付きモバイル端末への意向を検討している。 それ以外では特に大きな問題もなく、良好に稼動している。 (6) システム導入の効果 従業員の出退勤管理並びに、作業割当にかかっていた手間が削減され、業務効率の 改善がなされた。また、従業員の休憩所に設置された大型ディスプレイに生体認証結 果を含めた勤務情報が投影されることにより、従業員は自身の仕事の割当が見やすく なり、作業効率が向上した。