キャッシュカード

プラスチックの本体に刻印を施し、磁気ストライプをつけて、口座番号等の情報を磁気情報で記録したもの。ATMでは、記録された磁気情報のみを用いて手続きを行う。

日本と、アメリカ合衆国を含めた諸外国とでは、キャッシュカードなど金融取引に使われる、カードの磁気エンコードの方式が異なる。

JIS X 6302では、裏面磁気ストライプカード（JIS I 型）用のエンコード方式と、おもて面磁気ストライプカード（JIS II 型）用のエンコード方式を規定している。JIS I 型用の方式はISO/IEC 7811と一致しており、クレジットカードや国際航空運送協会 (IATA) 加盟の航空会社の会員カードに採用されている。JIS II 型用の方式は、日本独自の規格であり、日本の銀行キャッシュカードに採用されている。

国内金融機関のATMで両方に対応するものは、従前は外国銀行またはゆうちょ銀行が設置するATMしか無かった。コンビニATMでは、セブン銀行ATMが両方の磁気エンコードに対応するクレジットカード及びICキャッシュカード対応し、他のATMでも徐々に対応するのが多くなってきた。

強い磁気に晒されると磁気情報が破損して使用できなくなることがある。また、後述のセキュリティーの問題から磁気ストライプのカードの発行を中止して、ICキャッシュカードに切り替える銀行もある[3]。この場合、当然ながら、磁気ストライプを前提とした各種サービスは利用できない[4][5]。

上記の磁気ストライプカードの本体に、更にICチップを搭載して機能と安全性を高めたもの。安全性を高めるため磁気ストライプを搭載せず、ICチップのみを搭載したカードも存在するが、利用上の制約[4][5]も多いため、本格的な普及には至っていない。2023年3月、三井住友銀行が「Olive」サービスにおいて都市銀行で初めて、「磁気ストライプ無し・ICチップのみ」のキャッシュカードを発行した。（キャッシュカードとしての磁気ストライプを廃止。クレジットカードとしての磁気ストライプは残存[6]）

カード毎に異なる鍵情報をICチップ内に内蔵し、この鍵を用いてATMと暗号通信を行う機能を持つ。カード内の暗号鍵そのものが、外部とやり取りされるわけではないので、同じ情報を持つ偽造カードを作出することは困難である。ただしリバースエンジニアリング等の手法により、メモリ内の暗号鍵が直接読み出された場合（現時点では、耐タンパー機能や計算量的に出来ないとされる）や、通信内容から暗号鍵を推測された場合には複製も可能となる。物理的・電気的に、ICチップが破壊されると使用できなくなる。

日本国内用のICキャッシュカードについては、一般社団法人全国銀行協会が策定した接触型ICチップの方式を原則として採用している。

上記のICチップ内蔵カードに、生体認証に用いる情報を追加記録したものである。ATMで用いられる生体認証として、掌の静脈パターンを読み取る方法と、指の静脈パターンを読み取る方法の2種類が採用されている。

ただし、生体認証を廃止ないしは新規停止した金融機関も存在し、みずほ信託銀行に至っては、生体認証対応カード自体を使用不可とする措置を取っているほか、三菱UFJ銀行やゆうちょ銀行など、全国規模の金融機関での廃止・サービス停止に踏み切ったケースも存在する。

一般に生体認証カードは、多くの金融機関でATM引き出し限度額を高額に設定可能としている。一方で、高額設定可能なことを突かれ、特殊詐欺で多額の被害に至るケースが発生している[7]。2020年1月、横浜銀行は70歳以上の預金者に対して、生体認証カードも含めた全ての種類のキャッシュカードの引き出し限度額を一律に引き下げた[8]。

ICチップ内蔵カードには、クレジットカードとの一体型カード、利用額に応じてポイントが付くポイントサービス付きカード、電子マネー付きカードなどがある[2]。

通常、発行には申込から1週間から2週間程度(クレジットカード一体型は、クレジット部分の発行審査を含めて1ヶ月前後ないしはそれ以上)かかり、簡易書留ゆうメール等で送付される。金融機関によっては、普通預金のみのカードなど、一部のカードについては、申込のその場で受け取ることができるサービスを提供する場合もある。近年では、地方銀行や第二地銀などでも発行するケースが見られるようになってきたが、窓口に在庫のある白カードに磁気ストライプやICチップにデータを書き込んで、券面に口座番号等をプリントするエンボスレスカードが発行できるシステムを以前に比べて導入しやすくなったこと等が挙げられる。

なお、生体認証対応のICつきカードが即時発行できる場合は、その場で生体認証も同時に登録できるケースもある。このケースでは、金融機関によっては、即時発行するキャッシュカードへ生体認証を登録することにより、印鑑に代わって本人確認を行う形になっている。

代理人カードは、口座を持つ本人が申し込むことで発行され、口座からATMで入出金等のお取引を行うことができる代理人用のキャッシュカードで、例えば、夫婦で一つの口座からATMで預入・引出ができる[9]。同居親族であれば発行できる（城南信金など）、配偶者に限る（横浜銀行など）といったように、金融機関により運用は大きく異なる。

• 生計を共にする親族1名に限り発行 - 三菱UFJ銀行[10]、みずほ銀行[9]、りそな銀行（成人に限る）[11]
• 2枚まで発行 - 三井住友銀行[12]

磁気カードや、生体認証を用いないICカードでは、第三者が真正カードと暗証番号を入手して不正操作を行う事が可能である。

• 空き巣や車上荒らしでキャッシュカードと共に免許証や保険証等を盗み出し、これらの書類に記載されている生年月日・住居の番地・電話番号等から暗証番号を推測して不正操作を行う例がある。
• また、ATM操作中に肩越しに覗き見たり肘や腕の動きから入力している番号を推測し（ショルダーハッキング）、そのうえでバッグを引ったくったりカードをスリ取るなどして、不正操作を行う例もある。
• 盗み見る者、引ったくる者、現金を引き出す者が分業しているために首謀者を特定しにくく、警察の捜査が難航して検挙率は低い。

カードの盗難について、金融機関側は暗証番号の漏洩が無ければ依然、安全であるとして、生年月日等、他の情報から容易に推測される番号を避けること、また、適宜暗証番号を変更するなどの対策を呼びかけた。また、2004年秋より、ATMで1日に取引できる限度額を順次下げて、被害が大きくなるのを防ぐとした。

殊に、磁気カードでは、同一形式のカードが銀行オンラインシステム以外にも用いられる様になるとともにカードリーダ等の機器の入手も容易となり、キャッシュカードの磁気帯の情報を読み取ったり偽造カードを作成する事も困難ではなくなってきた。認証に関わる磁気情報が全て露出しているのに加えて、その情報を別のカードに記録する事も容易であることから、スキミングによる偽造カードの作出と、それを使用した不正操作が社会問題となった。

• 磁気情報窃盗で、空き巣に入っても物を取らずに、キャッシュカードの磁気情報だけを読み出し機で読み出すと共に暗証番号推測に役立つ情報を書き取り、別所で偽造カードを作成して不正操作に及ぶ例が見られる。
• 2004年には、銀行のATMコーナーに、安全対策を騙りカード読み取り機を置き、カードを通して暗証番号入力を求める事件があった。誤ってカードを通して暗証番号を入力した利用者の中から被害に遭った例もある。
• 2005年1月に明るみに出た群馬県のゴルフ場でのスキミングによる不正引出しでは、ゴルフ場職員が犯罪に加担した。キャッシュカードの暗証番号をロッカーに設定するケースが多い点に目をつけ、貴重品ロッカーをマスターキーで開けてカードから磁気情報を読み取ると共に、管理機能で利用者が設定した暗証番号も読み取り不正操作に及ぶ。
• 2005年後半にはATMに盗撮カメラを仕掛けてキャッシュカード表面の文字や番号等と、暗証番号を入力する様子を撮影し、得られた情報から磁気情報を作出してカードに記録し、これを用いて預金不正引出しに及んだ例も確認された。
• 2006年11月には、「あなたはNHK受信料の支払状況が良く懸賞金を進呈するので、口座番号と暗証番号を教えてほしい」と電話をかけ、キャッシュカードを偽造する事件が発生した。
• 2008年11月には、健康食品会社から流出した個人の口座番号を元に偽造カードが作成された疑いが強い不正引出し事件が発覚した。暗証番号は電話による残高照会サービスを利用して割り出した模様で、スキミングとは異なる手口[13]。

カードの盗難では、被害に気づいたら、すぐに届け出て口座やカードを凍結できるが、スキミングではカードそのものは本人の手許にあるため、通帳への記帳や利用明細をチェックするまで被害に遭った事に気づかない。

他、生体認証カードでは1日の引き出し限度額が最大で20倍程度になる点を悪用し、特殊詐欺の手段として生体認証カードを作らせて現金を騙し取る例が、東京都内で多発している[7]。

銀行ならびにコンビニに設置されているATMには監視カメラが設えられており、カードの不正使用に際しては容貌を記録に取られるリスクがある。しかし、小売店のレジ等には監視カメラが無い事が珍しくなく、記録を取られるリスクなく不正使用が可能となる。ただし、顔貌の特徴点をいかに高精度に記録できる防犯カメラが設置されていようとも、顔面の一部または全体や身体的特徴を違和感なく隠蔽する手段は複数考えられるため、一定の効果は期待できるが、いわゆるプロによる犯行を阻止、あるいは検挙の手がかりとするには充分とはいえないとする見方もできる。同時に、小売店のPOS端末等のセキュリティに関しては問題が指摘されている。

磁気カード対応のATMは、コンビニエンスストア設置のものも含めて既に多数が配置されており、ICカードへの切り替えや生体認証方式の導入には時間と費用がかかることから、下記の様な対策がとられている。

暗証番号の漏洩を防いだり、ATMの利用方法を制限するために、以下に挙げる対策が採られている。

• ATM・テレホンバンキング等で暗証番号の変更を受け付ける
• ATMで暗証番号を入力する際、数字の配列を並び替える（この方法は数字をタッチパネルに入力する機種に限られる）
• 金融機関が暗証番号をチェックし、個人情報から推測可能なものの場合には変更を推奨する（暗証番号の変更の際に、新番号が同様のものの場合は受付を制限する場合もある）
• ワンタイムパスワード方式を用いて1回毎に異なる暗証番号を使用する
• 金融機関ごとに下記の何れかの方法で預金払い戻し・振込み可能金額を引き下げる
  • 一律に限度額を決定する
  • 口座開設者が自分で限度額を設定する
• 口座開設者が自分でATMの使用可能時間を限定する設定を行う
• 口座開設者が自分で通常はATMで使用できないように設定しておき、使用の都度携帯電話等で一時的に使用可能にする

金融機関によっては、不正支払をより抑止するために、キャッシュカードを発行せず、口座開設店において対面での手続きのみを行う預金口座を取扱開始したところもある。

磁気カードでは前述の様に同じ情報を持つカードを複製する事が容易であるが、ICカードは原理的に同じ情報を持つカードを複製することは不可能とされており、切り替えが行われている。

暗証番号による認証方式は、暗証番号の情報そのものが個人から独立しているものであり、口座開設者本人の不注意や、ソーシャルエンジニアリングによって漏洩し、第三者に渡る可能性がある。生体認証では本人の肉体の特徴に由来する情報を認証に用いる事で、第三者によるなり済ましを防止する効果が期待される。

2017年、キャッシュカードを使わずにスマートフォンとQRコードを使用してATMで入出金する、いわゆる「スマホATM」が登場し、採用する金融機関が増えている。

日本における盗難カードや偽造カードの被害については、預金者保護法施行（2006年2月10日施行）の前後で対応が大きく変わる。

金融機関は、挿入された磁気カードに記録された情報と入力された暗証番号を正規のものと認めて行った払い戻しについて、結果に責任を負わないとするカード利用規定（全銀協によるカード利用規定試案第10条第2項 (PDF) ）をたてに、本来の口座開設者の重ねての預金払い出しを拒む。

• 当該規定については、民法第478条に根拠が求められる。同条文では、債務の返済にあたり、善意無過失で弁済した相手が真の債権者ではなかった場合でも、その返済は有効であり、改めて真の債権者に弁済する必要は無いと規定している。これを預金の払戻しに類推適用し、機械処理で正しい磁気情報を持つカードを所持し且つ正しい暗証番号を提示する人物を真の口座開設者と認めるのは何ら問題が無く、善意無過失であると主張する。尚、同規定については、根拠を民法第480条に求める見解や、いずれの条文にも根拠を求めない独立したものとする見解もある。
• 裁判では、カードや暗証番号の管理に落ち度が無いこと、且つ、不正操作が行われるに至った一連の経緯を詳らかにして被害を偽装したものではないこと、そして、現行のオンラインシステムが偽造カードの存在を許す事実をもって、無権限者による不正払い出しを排除するシステムを構築する努力を怠ったとして民法第478条にいう善意無過失とは言えない事を口座開設者側が証明する必要があり、補償を勝ち取るのは困難である。尚、現時点（2006年2月）では偽造カードによる不正引出しを許すオンラインシステムに対する民法第478条の適用の可否や、規定の有効性について判断する裁判所判決は無い。

しかし偽造カードによる不正引き出しが増加し社会問題化していることから、預金者保護法が制定・施行された。

預金者保護法は、不正払い戻しに対する民法第478条の適用を除外し、預金を補償する規定である。同法の下では、盗難カードや偽造カードなどで預金が不正に払い出された場合であっても、金融機関が善意かつ無過失であって、かつ預金者本人に重大な過失があることを金融機関が証明した場合を除き、預金は全額補償される。なお、預金者本人の重過失とは、暗証番号を故意に他人に教えたり、カード表面に暗証番号を記入したりした場合を指す。

但し、同法が適用されるのは個人の口座に限り、また、盗難カードや偽造カードによる被害に限定される。法人の口座や、盗難通帳による被害は対象外である。

また、盗難カードや偽造カードをデビットカードとして使用した場合も、同法の範囲外である。

米国ではクレジットカードは公正クレジット請求法（Fair Credit Billing Act）、キャッシュカードは電子資金移転法（Electronic Fund Transfer Act）に定めがあり法律が異なる[1]。電子資金移転法ではキャッシュカード亡失届け出後は預金者に責任はないが、届け出前の不正引き落としがあった場合は届け出まで期間で預金者の負担が異なる（銀行からの口座残高ステートメント郵送後60日以内に銀行に連絡しないと無限責任となる）[1]。