概要
電子マネーを発行する電子マネー発行センタ ーと物理的なタンパーレジスタンスを保障す る電子財布を提供するデバイス供給センター を主要構成要素とする電子マネーシステムを 提供する(図1参照)。電子マネーの認証には、 電子マネー発行センターを認証局(CA)とするPK I技術を利用し、電子財布の認証には、デバ� �ス供給センターを認証局(CA)とするPKI技術を� ��用する。本電子マネーシステムでは、秘密� ��のみならず公開鍵も含め全ての暗号鍵およ� ��電子マネーそのものが本電子マネーシステ� ��の外部に露出しない仕組みを提供。また、� ��子マネーが偽造、改竄された場合に、その� ��うな不正を速やかに検知するとともに不正� ��の適切な対応が可能な仕組みを持つ電子マ� ��ーシステムを提供する。
 
電子マネー発行センターは、中央銀行ないし はそれに類する機関が運営し、デバイス供給 センターは、政府機関ないしはそれに類する 機関が運営する。
 

電子マネー発行センター(電子マネーの発行)
電子マネー発行センターでは、1組の電子マ� �ー認証用マスター秘密鍵および電子マネー� �証用マスター公開鍵を生成し、同センター� �にある物理的にも情報セキュリティ的にも� �られた安全な場所に電子マネー認証用マス� �ー秘密鍵を保管する(図2参照)。電子マネー� �号は、十分な桁数を持つ数字であり、初期� �から順次数を増してゆく。電子マネー番号� �位取記数法(10進数、16進数など)については� �各システムにより決定する。「電子マネー� �号」、「電子マネー発行センターの印章」� �および将来、機能を追加するための「電子� �ネー予備データ領域」を合わせたものを電� �マネーの1単位とし、電子マネー発行センタ� ��内にある電子マネー認証用マスター秘密鍵� ��より暗号化することにより電子マネーを発� ��する。
 
電子マネー発行センターでは、発行した電子 マネー番号をキーとする電子マネー履歴情報 データベースを構築し、発行年月日発行時刻 および電子マネー予備データ領域を記録する 。また、電子マネーが戻ってきた場合の各電 子マネーの履歴情報格納場所を確保する。
 

デバイス供給センター(電子財布の発行)
デバイス供給センターでは、1組の電子財布� �証用マスター秘密鍵と電子財布認証用マス� �ー公開鍵を生成し、同センター内にある物� �的にも情報セキュリティ的にも守られた安� �な場所に電子財布認証用マスター秘密鍵を� �管する(図2参照)。ICチップないしは同等以上 の物理的セキュリティ、演算機能、データ保 管機能を持つハードウェアを製造し、電子財 布とする。電子財布は、デバイス供給センタ ーでのみ初期設定を行うものとする。全ての 電子財布に電子財布番号を付ける。
 
デバイス供給センターでは、各電子財布に固 有の電子財布秘密鍵および電子財布公開鍵を 生成する。「電子財布公開鍵」、「電子財布 番号」、将来の機能追加のための「電子財布 予備データ領域」、「デバイス供給センター の印章」、を合わせ電子財布認証用マスター 秘密鍵で暗号化したものを「電子財布ID」と� ��ぶこととする。
 
デバイス供給センターでは、各電子財布に電 子財布IDを格納する。また、デバイス供給セ� ��ターでは、各電子財布に「電子財布認証用� ��スター公開鍵」、「電子マネー認証用マス� ��ー公開鍵」、「電子マネー発行センターの� ��章」、「電子財布秘密鍵」を格納し、これ� ��のデータが、電子財布から漏洩しないよう� ��物理的セキュリティを確保する。特に、電� ��財布秘密鍵は、デバイス供給センターで発� ��された後は、各電子財布秘密鍵に対応する� ��子財布内以外には露出しないよう十分なセ� ��ュリティを確保する。
 
デバイス供給センターでは、電子財布番号、 電子財布公開鍵、電子財布発行年月日時刻、 電子財布還収年月日時刻、電子財布予備デー タ領域を電子財布履歴情報データベースに保 管する。
 

電子財布間の相互認証および一時的な通信用 共通暗号化鍵の生成(図3参照)
まず、一方の電子財布(電子財布A)からもう一 方の電子財布(電子財布B)に電子財布Aの電子� �布IDを送る。電子財布Bでは、電子財布Aから� ��られてきた電子財布IDを電子財布認証公開� �で復号化し、「デバイス供給センター印章� �を確認することにより、電子財布Aが正規の� ��子財布であることを認証する。
 
電子財布Bは、認証結果を自らの電子財布秘� �鍵および電子財布Aの電子財布公開鍵で暗号� ��し、電子財布Aに送る。その際、電子財布A� �正当性が確認できた場合には、今回の通信� �暗号化するための一時的な通信用共通暗号� �鍵を生成し、認証結果と併せ、前述のとお� �の方法で暗号化し、電子財布Aに送る。電子� ��布Aでは、電子財布Bから送られてきた認証� �果などの情報を自らの電子財布秘密鍵およ� �電子財布Bの電子財布公開鍵で復号化する。
 
電子財布Bから電子財布Aに対しても同様な手� ��で電子財布IDを送ることにより、相互に認� �を行い、相互に正当性を確認した場合には� �通信用共通暗号化鍵を共有する。
 

電子財布間での電子マネーの受け渡手順(図4� ��照)
電子財布間の相互認証が確立すると、電子財 布間で電子マネーの受け渡しが行われる。指 定された金額を仕向側電子財布から被仕向側 電子財布に受け渡す。まず、仕向側電子財布 において指定された金額と同数の電子マネー を集める。各電子マネーには、履歴情報が付 加されている。履歴情報が付加された電子マ ネーを一括し、前述の通信用共通暗号化鍵(co mKaおよびcomKb)で暗号化した上で、被仕向側電 子財布に送る。被仕向側電子財布では、受け 取った電子マネーを通信用共通暗号化鍵(comKa およびcomdKb)で復号化した後、各電子マネー� �電子マネー認証用マスター公開鍵で更に復� �化し、電子マネー発行センターの印章を取� �出す。各電子マネーに対し、この電子マネ� �発行センターの印章が、被仕向側電子財布� �保管してある電子マネー発行センターの印� �と同じであることを確認することにより、� �電子マネーの正当性を確認する。また、受� �取った電子マネーの数が、指定された金額� �相当することを確認する。確認結果を仕向� �の電子財布に通知する。
 
正当性を確認し受け取った各電子マネーにつ いては、付加されているこれまでの履歴情報 に電子財布番号を追加し、履歴情報全体を電 子マネー認証用マスター公開鍵で暗号化する 。正当性を確認できなかった場合には、受け 取った電子マネーを仕向側電子財布に送り返 す。
 
同一のセッション中における電子財布間の全 ての通信は、通信用共通暗号化鍵で暗号化す る。
 

電子財布間の接続インターフェイスおよび入 出力装置(図5参照)
電子財布と外部の接続インターフェイスは、 受け渡し金額、デバイス供給センターの印章 、電子財布番号、電子財布認証結果の通知、 電子マネー受け渡し結果の通知を受け渡すも のとする。
 
電子財布には、「受け渡し金額」に限り、接 続インターフェイスを通じ入力可能な仕組み を設ける。
 
外部の接続インターフェイスは、デバイス供 給センターが規定するインターフェイス仕様 に従い、デバイス供給センターが認可したメ ーカーで製造する。接続インターフェイスに は、表示システム、経理システムなど関連シ ステムと接続する機能を付加することが可能 な標準的な技術を採用する。
 
同一通貨で複数の通貨単位が存在する場合に は、最小の通貨単位を基準とし、大きい通貨 単位は、換算により表示する。
 
接続インターフェイス間のネットワークは、 電話網、携帯電話網、インターネット、専用 線網など公共の通信ネットワークを利用。
 
接続インターフェイスを介し、電子財布を他 のシステムに組み込むことを可能とする。例 えば、電子財布は、クレジットカード、銀行 カード、携帯電話などの媒体に埋め込むこと を可能とする。
 

電子金庫
電子財布より大量、多額の電子マネーを保存 、取り扱うことを目的とした大型の電子財布 を電子金庫と呼ぶこととする。電子金庫は、 電子財布の機能を持つが、ICカードと同等以� ��のセキュリティをシステム全体として提供� ��る。電子金庫は、中央銀行ないしは同等の� ��能を持つ機関との取引が認められた金融機� ��に限定して利用が許可されるものとし、全� ��の電子金庫は、デバイス供給センターの承� ��を得る必要がある。
 
電子金庫内の電子マネーで、一定の基準より 多くの履歴情報を持っているものは、強制的 に電子マネー発行センターに戻され、新しい 電子マネーと交換するものとする。
 
電子金庫では、不正電子マネーや不正電子財 布に関する情報を電子マネー発行センターお よびデバイス供給センターから受領/蓄積し� �取扱う電子マネーおよび電子財布をチェッ� �する。
 
電子金庫の電子財布番号を電子マネー発行セ ンターに登録する。
 

電子マネーの不正な複製の検知方法(図6参照)
電子マネー発行センターに戻ってきた電子マ ネーについて、まず電子マネー認証用マスタ ー公開鍵により復号化し、「電子マネー発行 センターの印章」が正当なものであることを 確認する。次に、履歴情報を、電子マネー認 証マスター秘密鍵により繰り返し復号化する ことにより、当該電子マネーが今回発行され た後に経由した全ての電子財布番号を抽出し 、電子マネー履歴情報データベースに格納す る。これを、当該電子マネーの履歴情報デー タベースで整合性を確認し、不正な複製の無 いことを確認する。もし、履歴情報に不整合 が検出された場合には、予め決められた先に 通知する。
 
電子マネーの不正な複製などの可能性がある 場合には、問題が発生した可能性のある電子 財布番号を電子金庫に通知・連絡する。また 、当該電子財布が使われた場合には直ちに電 子金庫から電子マネー発行センターおよびデ バイス供給センターに報告される。
 

電子財布の不正な複製の検知(図6参照)
電子財布は一定期間毎に、回収し、複製や改 ざんなどの不正が行われていないかを電子財 布データベースの記録をもとに確認する。
 

センターのバックアップ、二重化
電子マネー発行センターおよびデバイス供給 センターは、各々バックアップセンターを保 有する。電子マネー発行センターに関しては 、電子マネー発行センターの印章、電子マネ ー認証用マスター秘密鍵、電子マネー認証用 マスター公開鍵、電子マネー予備データ領域 を、電子マネー発行センターの「安全なハー ドウェアー」と同等の安全性を持ったハード ウェアーに保管すると共に、電子マネー履歴 情報データベースをリアルタイムでバックア ップセンターに反映する。デバイス供給セン ターについても、「安全なーハードウェアー に保管しているデータ(デバイス供給センタ� �の印章、電子マネー発行センターの印章、� �子財布認証用マスター秘密鍵、電子財布認� �用マスター公開鍵、電子マネー認証用マス� �ー公開鍵、電子財布予備データ領域)」をバ� ��クアップセンターにおいて、同等以上の安� ��性をもつハードウェアーに保管するととも� ��、電子財布履歴情報データベースの内容を� ��アルタイムでバックアップセンターに反映� ��る。
 
重大障害発生、自然災害やテロなどによる被 災により各センターが機能不全に陥った際に 業務を継続できるようにする。
 

システムの更新
一定期間毎にシステムを更新する。具体的に は、電子マネー発行センターにおける電子マ ネー認証用マスター秘密鍵および同公開鍵の 生成から電子マネーの発行までのプロセスな らびにデバイス供給センターにおける電子財 布認証用マスター秘密鍵および同公開鍵の生 成から電子財布の発行までのプロセスを新た に実施し、新しい電子マネーシステムを提供 する。
 
新旧の電子財布が並存する場合は、接続イン ターフェイスを介して新旧の電子財布を共に 配置し、電子財布の番号により新旧を判定し 、対応する電子財布同士を接続することが可 能。
 
電子マネー発行センター、デバイス供給セン ター、電子金庫では、複数の電子マネーシス テムに対応できるように、複数のシステムを 運営可能な資源を保有する。