1. HOME
  2. 特集
  3. 「鍵」という自分の証し
  4. なぜ暗証番号は4桁? から考える「鍵」の存在意義の変化 財産を守る→自分の証明

なぜ暗証番号は4桁? から考える「鍵」の存在意義の変化 財産を守る→自分の証明

World Now 更新日: 公開日:
東京都内の大手銀行支店にずらりと並んだATMとCD(現金自動支払い機)
東京都内の大手銀行支店にずらりと並んだATMとCD(現金自動支払い機)=1986年、朝日新聞社撮影

銀行のATMで預金を引き出すためにはキャッシュカードと暗証番号が必要だ。インターネットバンキングを使おうとすればパスワードを打ち込まなければならないし、一定期間が過ぎると変更するよう促される。4桁の暗証番号なら覚えていられるが、何桁もの英数字からなるパスワードを記憶するのは大変だ。使い回せば漏洩の不安がある。そんな悩みを抱えている人も多いだろう。(星野眞三雄)

そもそも、銀行やクレジットカードの暗証番号はなぜ4桁なのか。

4桁の数字の組み合わせは、0000から9999の1万通りしかなく、利用者が増えれば同じ暗証番号の人が多く存在することになる。一つずつ試してみても当たりそうな数だし、コンピューターにやらせればあっという間に終わりそうだ。

貴重なお金を守るには、あまりにも脆弱(ぜいじゃく)にみえる。

「妻が覚えられず……」4桁に

『暗証番号はなぜ4桁なのか?』の著者で中央大学教授の岡嶋裕史さん(50)は「人間の記憶能力とリスクとのバランスだろうが、4桁とした論理的な理由はなく、『えいやっ』と決められたものだ」と話す。

中央大学の岡嶋裕史教授
中央大学の岡嶋裕史教授=2023年1月、東京都新宿区、星野眞三雄撮影

英国の大手銀行バークレイズが休日にもお金を引き出せるようにしようと、世界初のCD(現金自動支払い機)を世に出したのは1967年のこと。このときに採用された暗証番号が4桁だった。

開発に携わったジョン・シェパードバロンが、暗証番号を4桁とした理由をBBCの取材に語っている。「はじめは6桁にしようと思ったが、妻が4桁までしか覚えられないといったので……」

東京都内の信用金庫のCD(現金自動支払い機)
東京都内の信用金庫のCD(現金自動支払い機)=1975年、朝日新聞社撮影

アルファベットを交ぜると、すべてのCDにキーボードを取り付けなければならないが、番号であればテンキーで事足りる。さらに数字4桁だと誕生日をあてればいいこともあり、忘れない番号として広く使われるようになったという。

「キャッシュカードを持っていることで本人と識別し、正しい暗証番号を入れることで本人のものだと認証する。セキュリティーは基本的にこの識別と認証の組み合わせだ」と岡嶋さんは説明する。

三和銀行が設置した現金の自動預金・支払い機。銀行が発行した磁気カードを挿入して使う仕組み
三和銀行(現三菱UFJ銀行)が設置した現金の自動預金・支払い機。銀行が発行した磁気カードを挿入して使う仕組み=1970年撮影

たとえば家の玄関や自動車は、鍵を持っている人を本人と識別するだけの仕組みだから、盗んで対象を特定できれば家に入ったり車を動かしたりできる。

一方、キャッシュカードを盗んだり拾ったりしてATMに入れても、暗証番号という本人認証をくぐり抜けなければ、お金を引き出すことはできない。

指で触れて入力するタッチパネル式の銀行ATM
指で触れて入力するタッチパネル式の銀行ATM=1992年、朝日新聞社撮影

この本人の識別・認証の仕組みに衝撃を与える出来事があった。

キャッシュカードの磁気情報をスキミングしてつくった偽造カードで預金を盗まれる事件が相次いだのだ。2005年、ゴルフ場のロッカーとキャッシュカードの暗証番号を同じにしている人が多いことに目をつけた犯行を重ねたグループが逮捕された。

被害者が気づくのは預金が引き出された後で、心当たりもないのだが、銀行は本当に本人が引き出したのかもしれず補償はしてくれない。そんな銀行の対応に批判が集まり、被害額を原則として銀行が補償する「偽造・盗難カード預貯金者保護法」が成立した。

日本銀行で当時この問題に取り組んでいた京都大学教授の岩下直行さん(60)は1990年代後半から、キャッシュカードの磁気テープと4桁の暗証番号の脆弱性を指摘し、安全性向上を訴えてきた。

「事件をきっかけに銀行はICカードや生体認証の導入を進め、ATMの引き出し限度額を1日50万円に引き下げた。犯人にとって『割に合わない』犯罪となり被害が激減した」と解説する。

手のひらをかざし静脈の形状で本人かどうかを確認する生体認証装置がついた東京三菱銀行(現三菱UFJ銀行)のATM
手のひらをかざし静脈の形状で本人かどうかを確認する生体認証装置がついた東京三菱銀行(現三菱UFJ銀行)のATM=2004年、朝日新聞社撮影

「銀行は窓口で通帳と印鑑による本人認証を続けてきたが、人件費削減のためもあり導入を進めたATMのシステムが30年たってほころびが出始めた時期の事件だった。暗証番号は4桁のままだが、ワンタイムパスワードなどが導入され、安全性は増した」という。

ワンタイムパスワードとは、ネットバンキングの振り込みなどで必要になる認証システムだ。カードやスマホのアプリなどにパスワードが表示される。

カードやアプリには時計と預金者固有の「秘密鍵」が入っている。表示されるランダムな数字を打ち込むと、入力した時間とともに記録される。

銀行側はその人が持っている秘密鍵を把握しており、打ち込まれた数字と時間の組み合わせが正しいか判断して本人認証が完成する。だから、そのカードが盗まれて他人が使ったとしても、秘密鍵が異なるのでお金を盗むことはできない。

「自分が自分である」証明

進化を遂げる本人の識別・認証の仕組みだが、岡嶋さんと岩下さんは「お金の世界だけではない」と口をそろえる。

岡嶋さんは「本人確認とは『自分が自分だ』という根源的な主張ともいえる。昔は存在を認めてもらえる共同体の中で生きていたが、人の移動が盛んになり、さらにネット社会となったことで、知らない人に自分を認めてもらうのに時間がかかるようになった。それを素早く終わらせるのが、識別と認証のシステムだ」と語る。

京都大学の岩下直行教授
京都大学の岩下直行教授=本人提供

岩下さんも「ネットの世界では打ち込んでいるのが人間かロボットか、なりすましか区別がつかないので、自分が自分と証明するのは重要だ。メールアドレスなどとパスワードでログインするグーグルやフェイスブック、ツイッターが、別のメールアドレスや電話番号などの登録を求めてくるのは、リアルな人間とひもづける努力だ」としたうえで、こう指摘する。

「ネットの世界では、リアルな人間とひもづける手段がパスワード、つまり自分しか持っていない鍵だ。リアルの限られた社会からバーチャルのネット空間が拡大することで、財産を守るものから、自分が自分と証明するものへ、と鍵の存在意義が変わったといえる」