銀行ATMでカードと暗証番号の認証を１回の通信で行わないのはなぜ？

カードの認証というのがICカード情報が正しいこと（鍵）の認証なのか、生体認証のことを言ってるのかは謎だけど… ICカード情報が正しいことの認証なら、それは今が経過期間だから。 と一言で終わらせても何なので。 本当なら、ATMから金融機関のホストにICカード情報と取引情報を纏めて送って、 一気に認証処理を済ませてしまいたいところなんだけど、それをやるには大幅なシステム変更が 必要になってくる。 システム変更には結構な期間と莫大なお金が必要だから、「よーいドン」でみんなが一斉にできる 訳じゃない。 だから全銀協は、 　・とりあえず、ATMでICカードを使えるようにしましょう 　・その後で、ホストでICカード認証できるようにしましょう、、、というのは正確じゃなくて 　　ATMでやらないようにしましょう って2段階に分けた。 今はまだ「ICカードは使えるけどホストでは認証できない」っていう状態。 じゃあどうしてるかっていうと、ATMにSAMっていうモジュールを載せて、そいつでICカード認証 してからホストと通信してる。 認証はATMでやっつけておいてから、ホストとは磁気ストライプの時と同じ情報を（暗証番号もここで） やりとりしてるっていうのが実状。 IC認証は後付けだからしかたない、と言っても良いかも。 これが次の段階になるとICカード認証をホストでやるようになる。 そして、生体認証のことなら、確認できるのは予め登録してる個人かどうかだけで、 実際に使えるかどうかはICカード情報が正しいことを確認しないと分からないから気にしなくて良い。 と突き放してしまうのも何なので。 磁気ストライプの時（の最初のころ）は、それ自体に暗証番号を書き込んでた。 ただ、解読が簡単で問題があったから、暗証番号はホストに載せる（カードに持たない）ようにした。 だけど、ストライプ自体をコピーされちゃうスキミング問題が出てきてから、 解析・複製が難しいICカードが登場することになる。 そこに更にセキュリティを強化するために生体認証が乗っかってきたんだけど、 それはあくまでも本人確認でしかない。 しかも生体情報はICチップにしかないはずだから、ホストまで持って行ってもメリットがない。 （つまりこいつもATMで認証してる） まあ、実際にカードとして使えるかどうかは「ICカード情報が正しいこと」を確認して、 個人を特定するために生体認証、暗証番号がある、 っていう風に位置付けが違うと思ってもらえれば良いかな？ ICカード情報が正しいことはいずれホストでやるようになるけど、 本人確認までやるかというと… ニーズがあるか、それこそセキュリティの問題でも起きない限りは、そこまでやらないという予想。 それ以前に、生体情報なんていう個人情報を一企業が管理することに、 日本人はまだアレルギーあるんじゃない？とも思うが。 まあ、生体認証付きカード使ってる人はそんなものないだろうし、厳密に言えばカードは銀行の 貸与物だから管理されてるって言えばされてるんだけど。