パスワードはその内容がそのまま、もしくは暗号化されて、ネットワークを通じてサーバ側に届き、サーバ内で保存されているパスワード情報と合致しているかを判定します。

　一方、PINはネットワークには流れることを想定していません。（※1）PCやスマホの場合は、入力した端末内で、その端末内に保存されているPIN情報との照合を行います。ATMでキャッシュカードやクレジットカードを使う場合は、カードに内蔵されたICチップの中にあるPIN情報との照合を、ATM端末を通じて行います。

　この照合の結果、合致すれば端末・ICカード内のデジタルな認証情報が取り出され、その情報だけがネットワークを通じてサーバに伝達され、サーバ上で再度認証が行われます。認証情報だけが伝達される仕組みなので、PINそのものは端末からネットワークに流出しないのです。

PINの仕組み

　この認証情報の取り出しには、PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証になります。ですので、4桁の数字だけであってもセキュリティが高いといえるのです。

　しかしながら、ネットワーク上に流れる数字だけのパスワードのことをPINとか暗証番号と呼んだり、ネットワーク上に流してしまっているケースがあります。元来の運用方法のように別の認証要素と組み合わせている場合や、専用端末＆閉域網での運用ならともかく、単独使用や、インターネットに流れるような場合は安全とはいえません。

　セキュリティ業界的な話になるのですが、そろそろ「パスワード」と「PIN・暗証番号」を区別して定義し直した方が整理されて分かりやすいのでは、と考えています。（※1）

【修正：2019年2月26日14時10分更新　（※1）初出時の文章について、誤解を招く表現があったため、一部記述を修正しています。】