銀行CCTV設計2026:ATM、金庫、窓口、支店入口 — ゾーン別EN 62676-4ウォークスルー
銀行は、CCTV設計において最も複雑なコンプライアンス上の課題を抱えています。4つの法規制(プライバシー、マネーロンダリング対策、制裁、電気安全)と1つの技術規格( EN 62676-4 )が、支店のあらゆるゾーンに影響を与えます。この記事では、入口、窓口、ATM、金庫、貸金庫の5つのゾーンについて、 EN 62676-4ピクセル/メートル計算、各ゾーンにおけるGDPR第35条DPIAに関する注記、マネーロンダリング対策におけるML保持の根拠、そして連邦政府管轄下の支店におけるNDAA第889条の調達に関する影響を詳しく解説します。この記事を読み終える頃には、コンプライアンスに準拠した支店設計を頭の中で描き、規制当局にカメラの選択理由を説明できるようになっているはずです。
要約すると、正しく理解すべき5つのポイント
- 窓口カウンターは、設計段階で運用上の問題が発生する場所です。 顧客の顔認識には(250ピクセル/メートル、水平方向)、レジの現金引き出しには(125ピクセル/メートル、垂直方向)の認識が必要です。1台のカメラでは両方の機能を果たすことはできません。各場所に2台のカメラを設置することを検討してください。
- ATMにはカメラが3台必要で、決して1台ではない。 顔認証(本人確認)+画面とキーパッドによる操作(動作確認、PINによるマスク)+周囲/プレートによる保護。カメラが1台のATMには、不正操作防止のための冗長性がありません。
- 保持サイズをより長い領域へ。 EUのA ML Dは30~180日、米国のBSAは90日から最低1年、フラグ付きイベントは無期限です。国境を越えて事業を行う場合は、より長い期間を想定した保管設計を行ってください。
- NDAA §889はサプライチェーン認証を通じて適用される。 たとえ貴支店が連邦政府機関と提携していなくても、商業顧客や規制当局(OCC、CFPB)からの要求はますます高まっています。NDAA(国防権限法) NDAA準拠した設計を最初から行うべきです。後付けでは5~10倍の費用がかかります。
- 成果物は、規制当局からの質問に対応するPDF 1点です。 フロアプラン、ゾーンマトリックス(カメラごとのDORI )、カメラスケジュール、保持表、DPIAワークシート、モデルごとのNDAAフラグ。このPDFがないと規制当局との面談は半日かかるが、これがあれば30分で済む。
各ゾーンで計算問題を解きました。よくある質問は最後にあります。
目次
銀行の監視カメラが「ロビーをカバーしていない」理由
小売店の支店は、小さな商業スペースのように見える。 GDPR 、規制当局がそれを見ると、5つの重複する法的規制が存在することがわかる。GDPR第9条に基づくあらゆる取引における特別カテゴリーデータのリスク、あらゆる窓口におけるマネーロンダリング対策のための証拠保持、あらゆる口座開設における制裁対象者スクリーニングのための顧客確認(KYC)再構築、あらゆるカメラ本体における国防権限法NDAA第889条に基づく調達管理、そしてあらゆる屋外ATMにおけるEN 62305に基づく雷保護である。これらの規制はそれぞれ、同じカメラの異なるパラメータ(レンズ、保持期間、モデルブランド、サージ保護装置)を規定している。1つでも間違えれば設計は試運転に不合格となり、2つ間違えれば調達に不合格となる。
4 つの法規制のすべてに共通するのは、 EN 62676-4という技術規格です。これは、「カメラが顔を認識した」とは具体的に何を意味するのかを数値で定義するものです。入札要項ではこの規格が軽視されることが多く、そのため多くの設計がカメラ数の要件を満たしながらも、1 メートルあたりのピクセル数の閾値を満たせないという事態が生じています。2025 年 10 月の改正では、おなじみの検出 / 観察 / 認識 / 識別 ( OODPCVS ) レベルの上に、より詳細な用語として OODPCVS フレームワーク (概要、アウトライン、識別、認識、特徴付け、検証、 DORI ) が導入されました。閾値は変更されません。OODPCVS OODPCVS 、中間的なケースについて監査担当者により正確な用語を提供するものです。この記事の残りの部分ではDORI番号を使用し、相互参照のために以下の表にOODPCVSマッピングを示します。
| DORI (レガシー) | px/m | OODPCVS (2025年) | 典型的な銀行利用 |
|---|---|---|---|
| Identification | 250 | Validate / Scrutinise | Teller face, ATM user, entry, vault axis, safe-deposit entry |
| Recognition | 125 | Characterise | Cash drawer, vault perimeter overlap, drive-through approach |
| Observation | 62 | Perceive / Discern | General lobby, car park sweep |
| Detection | 25 | Outline / Overview | Minimum to justify recording at all |
この記事では、計算式を明示しながら、ゾーンごとに詳しく解説します。私たちがピクセル/メートルの計算に特に注意を払っているのは、ヨーロッパの中堅銀行の支店設計を監査してきた経験から、導入が失敗する最大の理由は、設計がカメラの台数要件を満たしているにもかかわらず、窓口のピクセル/メートルのしきい値に達していないことだからです。ロビーは問題ありませんでした。金庫室も問題ありませんでした。しかし、 MLで最も重要なゾーンである窓口では、本人確認に必要なカメラが14%不足していました。これが、設計変更と6ヶ月の遅延につながる失敗モードなのです。
参考カード。 識別 250 px/m · 認識 125 px/m · 観察 62 px/m · 検出 25 px/m。銀行窓口係、ATM利用者、入口、金庫軸、貸金庫入口はすべて識別レベルに該当します。その他はすべて、文書化された根拠に基づき、妥当なレベルダウンとなります。
ゾーン1 — 分岐入口:すべての顔、2台のカメラの重なり
支店入口は、正しく設計するのが最も簡単なゾーンであると同時に、仕様が不十分になりやすいゾーンでもあります。すべての規制当局は、例外なく、ドアを通過するすべての成人に対して、身元確認レベルの顔認識を要求します。ユースケースは、後続の調査です。詐欺、窃盗、強盗、または容疑者特定支援が後日MLアラートで明らかになった場合、入口の映像はタイムスタンプのアンカーと最初の鮮明な顔写真を提供します。入口のフレームがぼやけていることは、詐欺の処理が滞る最も一般的な理由の1つです。
実例 — 4MPカメラ、4mmレンズ、玄関ドアまで4m
PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓
PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓
4mの高さで250ppmの閾値を1.9倍上回るヘッドルームがあるため、この設計は部分的な遮蔽、薄暗い冬の朝、小さな設置高さの誤差があっても識別要件を満たします。6mの位置は玄関ホールの奥、内側のドアを過ぎたところで、顧客が公共スペースから銀行管理スペースへと移動する場所です。
なぜカメラは1台ではなく2台なのか? 2台のカメラによる入退室監視システムは、改ざん防止と遮蔽防止の両方に効果があります。1台の入退室監視カメラは、スプレー塗料、帽子による遮蔽、角度の悪い太陽光の反射、あるいは最悪の場合、強盗中の物理的な改ざんなど、あらゆる障害に対処できる単一の弱点となります。2台のカメラは、天井の反対側の角に左右対称に設置され、互いを監視しながら入室の様子を同時に確認します。また、2台目のカメラは、1台目のカメラが傘や背の高い帽子などで捉えられない角度もカバーします。ハードウェアの追加コストは、デバイス1台と数百メートルのCat6ケーブルのみで、身元確認のトラブル1件にかかる費用に比べれば微々たるものです。
プライバシー・バイ・デザイン:入口カメラは、 GDPR第6条(1)(f)に基づく正当な利益(金融犯罪の防止は、前文49で認められている事例の1つ)を法的根拠として、入店するすべての顧客を合法的に記録します。さらに、入口には明確な標識が設置されています。DPIAでは、必要性テスト(より少ないデータで同じ証拠結果を達成できるか)、比例性テスト(2台のカメラの重複は必要か過剰か)、およびデータ主体の権利メカニズムを文書化する必要があります。入口カメラに関する標準的な回答は、はい、はい、そしてDPOへの連絡手順を掲示することです。
上記の数値の根拠となるピクセル/メートル計算の詳細な解説については、以下を参照してください。 DORI calculation walkthroughまたは、直接ジャンプ free DORI calculator ご自身のカメラとレンズの選択を検証するため。
ゾーン2 — 窓口担当者:窓口ごとのカウンターと肩掛け式現金引き出し
窓口は、一般的な支店設計において最も見落とされがちなゾーンであり、試運転後の再測定で不合格となる可能性が最も高い場所です。カウンター全体を見渡せる単一のオーバーヘッドdomeを設置したくなる誘惑に駆られます。効率的で安価、配線も簡単だからです。しかし問題は、単一のオーバーヘッドデバイスでは、識別時の顧客の顔(250 ppm)と認識時の現金引き出し(125 ppm)という、2つの異なるDORIターゲットを同時に満たすことができないことです。一方は水平方向の視線でほぼ目の高さに位置し、もう一方は垂直方向の視線で手の高さに位置します。その形状は根本的に異なります。
同じカメラ仕様でもエントリー審査は通過するのに、テラー審査は通過しない理由についての注記。 4 m の視線距離にある 4 MP / 4 mm / 1/2.8 インチのカメラは、顔に対して約 476 ppm の解像度を実現し、容易に識別できます。同じボディ、同じレンズをdomeに取り付け、高さ 2.7 m に設置して、カウンター越しに 4 m 離れた窓口の顧客を見下ろすと、顧客に対して斜めの角度になります。有効な顔面は、およそ cos(35°) ≈ 0.82 だけ短縮され、対角線の視線距離は 4 m よりも 4.8 m に近くなります。顔に対する有効な ppm は約 325 に近くなり、識別はできますが、グレアフィルム、冬の照明、または背の高い顧客に対する余裕がありません。そのため、窓口の設計では、頭上のdomeではなく、柱またはカウンター前面の顔の高さにカメラを取り付けます。同じ仕様でも、ジオメトリが異なると、結果も異なります。
実例 — 6メガピクセルカメラ、1/1.8インチセンサー(水平7.20mm)、8mmレンズ、顧客の顔の高さに柱に取り付け
PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓
PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓
6メガピクセル/8mm/1/1.8インチの組み合わせは、窓口業務用カメラの主力製品です。250ppmを超える余裕は意図的なもので、カウンターの反射防止フィルム、冬場の低い周囲光、顧客の身長のばらつき、そして10年間の運用期間中に避けられない設置位置のわずかなずれを吸収します。5mという数値は、顧客がカウンターから一歩下がって、身分証明書の提示を待っている状態の位置を示しています。
補助カメラは、窓口係の後ろ、頭上に設置され、現金引き出しを見下ろすように設置されます。一般的な選択肢としては、引き出し表面まで視線距離1.2m、広角レンズ2.8mmの4MPカメラが挙げられます。このカメラは、紙幣の取り扱い(計数、梱包、仕分け)を記録し、現金に関する紛争の証拠となります。顧客の顔を映す必要はありません(それは窓側のカメラが行います)。ただし、手と紙幣を鮮明に捉える必要があり、そのためには、幅約0.6mの引き出し内で少なくとも認識機能が必要です。
プライバシー境界 ― PINパッドのマスキング。 どちらのカメラも、顧客側のPINパッドのキーパッドをカバーしていません。PCIガイドラインでは、PIN入力を記録するデバイスはすべて、PIN処理制御(保存時の暗号化、鍵の管理、監査)をトリガーすると明記されています。CCTVシステムがPCIの適用範囲を継承することは望ましくありません。標準的な解決策は、キーパッド面が物理的に見えない角度(側面からの鋭角)にカメラを設置するか、カメラのファームウェアでキーパッド領域をマスクすることです(ほとんどの業務用ONVIFカメラは、ゾーンごとのプライバシーマスキングをサポートしています)。いずれの場合も、設計書には、どの方法を使用したか、そしてその理由を明記する必要があります。
窓口ごとの設置台数は直線的に増加します。6人掛けの窓口であれば、顔認証カメラ6台と現金引き出しカメラ6台、合計12台のカメラが窓口側に設置されます。一見すると多いように思えますが、証拠不十分で係争中の現金取引が1件発生し、最終的に上司の判断に委ねられるという事態と比較すると、その差は歴然です。1人あたり2台のカメラの設置費用は、1件の係争で決着がつかない事態が発生する費用をはるかに下回ります。
ゾーン3 — ATM:顔認証+画面上の動作+周辺/プレート
ATMにはそれぞれ3台のカメラが必要です。顔認証カメラは利用者を識別します。画面カメラは、キーパッドの隠蔽、ショルダーサーフィン、ソーシャルエンジニアリングといった行動を記録します。周辺カメラはATMへの進入と退出を監視し、ドライブスルー型ATMでは車両のナンバープレートを撮影します。各カメラは、カードスキミング(顔認証+行動認証)、カードトラップ(行動認証)、注意をそらす窃盗(周辺カメラ)、ドライブスルー強盗(周辺カメラ+ナンバープレート認証)、口座乗っ取りの再現(顔認証)など、異なる種類の不正行為や攻撃に対応します。
実例 — 3台のカメラを備えたATMクラスター
顔認識カメラ — 4MP、1/2.8インチ、6mmレンズ、ユーザーの顔までの距離1.5m:
PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)
画面/動作監視カメラ — 4MP、1/2.8インチ、2.8mm広角レンズ、1mの距離からキーパッドエリアまで:
PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)
ドライブスルー式ナンバープレートカメラ — 8MP、1/1.8インチ、12mmレンズ、ナンバープレートまでの距離5~8m:
PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night
ドライブスルーの角度とシャッターの性能低下。 ナンバープレートカメラは、支店内で静止位置の計算では必要なレンズを過小評価してしまう唯一の場所です。時速 5 km で ATM に接近する車両は、およそ 1.4 m/s で移動しており、ナンバープレートはカメラ軸に垂直になることはほとんどありません。典型的な接近角度は 20°~35° です。ナンバープレートの文字の実効 ppm は cos(角度) で低下します。30° では約 13%、45° では約 30% 低下します。さらに、シャッタースピードが 1/500 秒以下でない限り、モーションブラーによって文字がぼやけてしまうため、夜間は絞りを広くするかゲインを高くする必要があります。経験則として、同じ距離で静止した顔の撮影に使用する焦点距離の 2 倍の焦点距離を使用してください。5 m のドライブスルーの場合は、6 mm ではなく 12 mm を使用します。 ナンバープレートまでの距離と焦点距離の目安 プレート読み取り精度の計算式全体については、こちらをご覧ください。
屋外ATM=避雷区域。 EN 62305 では、屋外の露出したポールまたはキャノピーに取り付けられたデバイスはすべて雷保護ゾーンに分類され、部品BOMは電源線とデータ線の両方にサージ保護デバイスを含める必要があります。SPD のない標準的なPoEカメラは、雷雨が一度あるだけで全損となり、サージによってNVRポートも一緒に破壊されることがよくあります。設計PDFは、屋外カメラごとに SPD モデル、LPZ 分類、および建物の雷保護システムが存在する場合はそれへのボンディングを明示的に記載する必要があります。ヒーターと SPD を備えた屋外 ATM カメラの標準的なPoEバジェット: PoE+ (60 W) スイッチ ポートのドロップごとに 25〜30 W。屋内domeは 5〜7 W で動作します。スイッチとクローゼット UPS のサイズをそれに応じて決定します。
ゾーン4 — 金庫室と現金保管室:デュアルカメラによる重複監視、アクセス制御システムと連動
金庫室と現金計数室は、どの支店においても最もリスクの高い区域であり、同時に過剰な仕様と不十分な設計が混在しやすい場所でもある。過剰な仕様の例としては、同じ壁に向けて4台の広角4Kカメラを設置することが挙げられる。不十分な設計の例としては、2つ目のアングルがない1台の高解像度カメラを設置することが挙げられる。適切な構成は、視野が重なり合う2台のカメラを部屋の対角線上の隅に設置し、それぞれが部屋の中心軸に沿って識別レベルの画素密度で撮影することである。
実例 — 4MPの2つのカメラ、4mmレンズ、高さ2.7mの対角線上の角
PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓
各カメラは部屋の隅から撮影します。中心軸に沿って30~40%の角度重複があるため、一方のデバイスに不正操作が試みられても、もう一方のデバイスが独立した証拠として残ります。また、識別ヘッドルーム(閾値の約1.9倍)により、取り付け誤差や照明の変動をある程度吸収できます。
イベントをトリガーとした動画タグ付け。 金庫室の映像は、アクセス制御イベントログにタグ付けする必要があります。金庫室のドアが開くたびに、対応するカメラペアのビデオセグメントがNVRのイベントレコードに自動的に添付されるようにする必要があります。これは、A ML監査担当者が「過去90日間の金庫室への入退室記録を見たい」と要求したときに求めているものです。つまり、空の部屋の長いタイムラインではなく、各イベントに2分間のクリップが事前に添付されたアクセスイベントのリストです。ほとんどの業務用NVRプラットフォームは、イベントトリガーによるビデオタグ付けをサポートしています。設計では、リンク、保持ルール(通常はアクセスログとA ML保持期間のうち長い方)、およびアクセス制御ベンダーとの互換性を指定するだけで済みます。
保管庫映像の保存期間は、関連する規制の中で最も長いものです。EUでは、 ML Dの翻訳された慣行では、一般的な保管庫アクセスは6か月、フラグ付きイベントは無期限となっています。米国では、BSA/FFIECのガイダンスにより、保管庫は最低1年、不審活動報告に関連する映像は5年間保存することが推奨されています。長期保存に関する注意点: GDPRの保存制限原則(第5条(1)(e))は逆の方向を示しています。無期限保存には、保存された各セグメントをその合法的な目的に結びつける監査可能なトリガー(SARフラグ、調査ID)が必要です。セグメントレベルの正当化なしに一律に5年間保存することは、それ自体が問題となります。国境を越えた設計については、弁護士にご相談ください。CCTVplannerのストレージ計算ツールで計算できます。 /電卓/ストレージ カメラごとの保持率をゾーンごとの変数として設定する。
ゾーン5 — 貸金庫通路:入口を確認し、決して中身を盗まないこと
貸金庫は、プライバシーの境界線が最も明確で、ヨーロッパのあらゆる法域において判例法によって最も裏付けられている領域です。顧客は、貸金庫の中身に関して明確なプライバシーの期待を持っています。廊下への監視カメラ設置は許容され、場合によっては義務付けられていますが、貸金庫内部の撮影、あるいは顧客が開いた貸金庫を操作する様子を撮影することは、いくつかの法域において欧州人権条約第8条違反の疑いがあります。標準的な設計パターンは、廊下の入り口を覆い、貸金庫室のドアを内側から覆い、貸金庫棚自体には決してカメラを向けないことです。
実例 — 廊下入口で4MP/4mm、視野深度3~5m
PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓
顧客は廊下の入り口で特定できる。荷物室の中にある2台目のカメラはドアを捉えているが、角度が調整されているため、荷物棚は画面外に映らない。顧客が出入りする様子は録画されているが、自分の荷物とやり取りする様子は録画されていない。
これは業界全体で最も明確なプライバシー・バイ・デザインのパターンであり、DPIAレビューにおいて監督者が最も高く評価するパターンです。角度制約、各フレームの外側にボックスラックを配置したカメラ視野図、ボックス内ズーム禁止ポリシーに関するオペレーター研修を文書化することで、本来リスクの高い領域を、コンプライアンス遵守の明確な事例へと変えることができます。CCTVplannerプロジェクトのPDFには、このような規制当局向け文書作成のために、カメラごとの「キャプチャコンテンツ範囲」注釈が設けられています。
ネットワークアーキテクチャ:VLAN、管理プレーン、ソフトウェアNDAA
NDAA §889 はカメラ本体だけに留まりません。連邦政府機関による 2023~2024 年の執行ガイダンスでは、対象となる事業体のビデオ管理ソフトウェア、 NVRファームウェア、クラウド管理バックエンドも同様に制限されることが明確にされています。Hikvision NVRに接続された「準拠」のHanwhaまたはAxisカメラであっても、§889 違反となります。設計においてはHikvisionカメラ本体、レコーダー、VMS、およびクラウドまたはモバイル管理サービスを含むフルスタック全体を検証する必要があります。
ネットワークのセグメンテーションも必須です。銀行のCCTVネットワークは、カメラ自体が現金取り扱いを監視できる特権的な位置にあることと、デフォルトの認証情報が設定されたPoEスイッチが企業ネットワークへの横方向の移動経路として確立されていることの両方から、非常に価値の高い標的となります。最低限必要な設計は以下のとおりです。
- カメラ専用のVLANを使用し、社内LANへのルーティングは行わず、ホワイトリストに登録されたベンダーのクラウドエンドポイント以外へのインターネットへの出力は行いません。
- 管理プレーンは別のVLAN上にあり、VMSコンソール上で多要素認証が適用される。
- ファームウェアの更新プロセスは文書化されています。エアギャップを介した手動更新、または署名付きファームウェアのみの自動更新のみで、通常のHTTPプルは行いません。
- 初期設定時の認証情報は、引き渡し時に削除され、引き継ぎ資料に記載されます。
これは、CCTVシステムをコンプライアンス上の負債からコンプライアンス上の資産へと変える層です。監査担当者は、カメラスケジュールと併せてネットワーク図の提出を求めることが増えています。
10ヶ所以上の拠点における複数支店の標準化
50の支店を持つ小売銀行では、すべての支店に同じ5つのゾーンが設定されていますが、支店ごとに規模、レイアウト、道路の形状が異なります。各支店のデザインをゼロから手作業で作成すると、コンプライアンスのずれが生じます。例えば、支店23の入り口には、他の支店では4mmレンズを使用しているのに、その日の設計者が記憶違いをしたために6mmレンズが使われてしまいます。3か月後、試運転で支店23の入り口が識別ではなく認識に該当することが判明し、支店全体を再設計する必要が生じます。
標準化されたモデルでは、3つのアーキタイプテンプレートを使用します。これらは通常、小規模(窓口2台、ATM1台、ドライブスルーなし)、中規模(窓口4台、ATM2台、ドライブスルーなし)、大規模(窓口6台以上、ドライブスルーあり、複数金庫)です。各アーキタイプは、カメラ数、レンズ選択、設置高さ、 DORI計算が組み込まれた、完全に解決済みのEN 62676-4設計です。実際の各支店は、最も近いアーキタイプの分岐として始まり、周辺カメラとフロアプランの形状についてはサイト固有のオーバーライドが適用されます。準拠は維持され、形状のみが異なります。
CCTVplannerのプロジェクトモデルはこのパターンに合わせて構築されています。「プロジェクトの複製」アクションは、すべてのゾーン、すべてのDORI計算、およびすべてのコンプライアンスメタデータをそのまま保持したアーキタイプを複製します。複製されたプロジェクトは、 EN 62676-4基準を失うことなく、新しいフロアプラン、新しい衛星地図、およびブランチごとのカメラ調整を受け入れます。各ブランチは独自の監査用PDFを生成しますが、基となる設計ルールは同一であり、再検証可能です。
BOM 、保管場所、監査用PDF
監査人向けに単一ファイル形式の成果物を作成できない銀行設計は、完成した設計とは言えません。PDF PDFは以下の内容が含まれます。
- カメラの位置がすべてマークされた間取り図
- ゾーンマトリックス(カメラごと、ゾーンごと、 DORIレベル)
- カメラのスケジュール(モデル+レンズ+マウント+電源)
- クローゼットごとのケーブル配線量とPoE電力予算(標準:屋外ATMカメラ1台あたり25~30W、屋内dome 1台あたり5~7W)
- NVRとストレージの容量設定(ゾーンごとの保持期間設定)
- 屋外LPZデバイス用SPDリスト
- NDAA §889フラグ(カメラ、レコーダー、VMSコンポーネントごと)
- ネットワークアーキテクチャ図(VLAN、管理プレーン、ファームウェアポリシー)
- GDPR第35条DPIAワークシートの骨子
これらの各セクションは、規制当局の質問に答えるものです。ゾーンマトリックスは「重要なすべての顔が本人確認されましたか?」という質問に答えます。カメラスケジュールは「連邦規制に隣接する支店に禁止されているブランドはありますか?」という質問に答えます。保持表は「ATMの映像をBSAの90日ルールを満たすのに十分な期間保持し、 GDPR保存制限を遵守するのに十分な期間保持していますか?」という質問に答えます。DPIAワークシートは「この処理に第35条を適用しましたか?」という質問に答えます。これらの質問に明確に対応する単一のPDFにより、規制当局との面談時間を半日から30分に短縮できます。
BOM調達ワークフロー用にCSV形式で個別にエクスポートされます。DXF形式のエクスポートファイルは、ケーブル経路、設置位置、各ドロップごとのPoE予算情報とともに電気工事業者に送られます。どちらのファイルも同じ標準PDF参照しているため、調達担当者、設置業者、監査担当者は常に同じ信頼できる情報源を参照できます。これが、銀行レベルの設計ツールと一般的なカメラプランナーを区別するマルチ出力パターンです。
避けるべきよくある間違い
窓口の顔と現金引き出しの両方を覆う単一のオーバーヘッドdome
DORIターゲットが異なれば、ジオメトリも異なるため、単一のデバイスでは両方を満たすことはできません。 ML監査では、特に窓口担当者が問題視されます。ほとんどの導入失敗は、この窓口担当者に起因します。
HikvisionまたはDahua連邦政府関連支店のBOM ( NVRおよびVMSを含む)に組み込む
NDAA第889条は、システム全体を網羅しています。規格に準拠したカメラであっても、規格に準拠していないレコーダーに取り付けられている場合は、違反となります。その結果、連邦政府の資金援助が打ち切られ、再調達が必要となります。
「軽微なデザイン変更」におけるGDPR第35条DPIAの省略
支店におけるカメラの台数、設置場所、または保管期間の変更は、処理活動の変更とみなされます。「カメラを2台追加しただけ」というプロジェクトであっても、データ保護影響評価(DPIA)の更新が必要です。監督当局は、この点をますます注視しています。
屋外ATMカメラにはサージ保護装置がありません
EN 62305規格では、屋外に露出するすべてのカメラにLPZ分類とSPD(安全保護装置)の設置が義務付けられています。台風、変圧器の故障、またはキャノピーへの直撃雷はカメラを故障させ、多くの場合NVRポートも損傷します。SPDの導入費用は初期費用としてはわずかです。
バックアップ機能のないシングルカメラATM
ATMに設置された唯一のカメラに対する改ざんや妨害行為は、証拠を一切残しません。3台のカメラ(顔面+画面+周囲)によるATMの監視システムは、不正防止だけでなく、改ざん防止にも効果的です。
保持期間は適用可能な最短期間に合わせて設定
EUと米国にまたがって事業を展開する支店は、 ML DとBSAの両方の要件を満たす必要があります。BSAがより長い期間を必要とするにもかかわらず、EUの期間に合わせてストレージ容量を設定することは、6か月後の規制当局との面談で明らかになる、回避可能な設計ミスの一例です。同様に、セグメントごとの正当化なしに一律に無期限のデータ保持を行うというミスも、 GDPRストレージ制限に違反します。
カメラVLANフラットと企業LAN
デフォルト認証情報を使用するPoEスイッチとIPカメラは、横方向の移動経路として文書化されています。セグメンテーションは「あれば良い」ものではありません。
よくある質問
→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?
Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.
→What is the AML video retention window for ATM footage in the EU vs the US?
EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.
→Is Hikvision banned in every bank branch, or only federal-affiliated ones?
Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.
→How many cameras do I need at an ATM — one, two, or three?
Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.
→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?
At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.
→Do I need separate cameras for the teller's face and the teller's cash drawer?
Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.
→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?
Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.
→Can I reuse one branch's CCTV design across 50 sites?
Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.
→Does NDAA §889 cover the NVR and VMS or just the cameras?
The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.