QRコード“読み取り”で位置情報送信の危険性？ 一部アプリで物議、サービス提供社は当該機能を停止に

特定の環境・アプリでQRコードを読み取ると、ユーザーの位置情報がコード作成者に送られる仕組みとなっていました。

[沓澤真二，ねとらぼ]

　アララが提供する、デンソーウェーブ公式の（※）QRコードリーダーアプリ「公式QRコードリーダー“Q”」に、特定の環境でコードを読み取ると、ユーザーの位置情報がコード作成者に送信される機能があることが分かり物議を醸しています。デンソーウェーブに問い合わせたところ、提供元のアララとしては、指摘を受けて現在は位置情報の提供を終了しているとのことでした。

※QRコードは1994年にデンソーが開発し、現在はデンソーウェーブが特許を保有

公式QRコードリーダー“Q”（App Storeより）

　位置情報が送信されるのは、同じくアララが提供しているサイト「QRコードメーカー」で作成された“アクセス解析機能付き”のQRコード（※1）を、「公式QRコードリーダー“Q”」で読み取った場合（※2）。もちろん、初回起動時には位置情報の取得について同意が求められ、これに同意しなければ位置情報が相手に伝わることはありません。しかし、アプリ上では十分な説明がなされておらず、ネット上では「犯罪に使われたら怖い」「個人情報保護法に抵触するのでは」など批判の声が相次ぎました。

※1：アクセス解析方式には「シークレット」と「リダイレクト」の2種類があり、このうち「シークレット」を選択していた場合に位置情報が送信されていた
※2：“アクセス解析機能付き”のQRコードであっても、「公式QRコードリーダー“Q”」以外のリーダーアプリで読み取った場合は位置情報は送信されない

アクセス権限についての説明。「地図のQRコードの読み取り、作成に使用します」としか書かれておらず、コード作成者に位置情報が送信されるとは読めない（App Storeより）

リダイレクト方式とシークレット方式の違い。リダイレクト方式はIPアドレスに基づいて大まかな位置情報を推定（こちらはユーザーの同意不要）するもので、シークレット方式はユーザーの同意が必要ながら詳細なGPS情報が取得できる（QRコードメーカーのFAQより）

　この機能の詳細について、デンソーウェーブ広報に問い合わせたところ、次のような回答がありました。

――　特定の環境で、位置情報がコード作成者に送信されていたのは事実でしょうか。

デンソーウェーブ：事実です。ただ、個人や端末を特定できる情報ではなかったと認識しています。

――　位置情報の送信はどのような場合に行われていたのでしょうか。

デンソーウェーブ：全てのQRコードで位置情報が送信されていたわけではなく、「QRコードメーカー」で「アクセス解析」を有効にし、なおかつ「シークレット方式」でコードを作成した場合のみ、読み取った端末のGPS情報がQRコード作成者に分かる仕組みになっていました。

――　アプリ使用者に十分な説明はしていましたか。

デンソーウェーブ：アプリ起動時に「位置情報を取得します」という通知は行われており、これに対しユーザーが許可した場合のみ、位置情報が取得されていました。アプリの利用規約やFAQ、アプリストアの概要などでも一部記載しています。ただ、一部記載内容が不十分だったところもあり、現在はアララ側で修正対応中です。

――　記載の修正以外に、何か対応される予定はありますか。

デンソーウェーブ：「QRコードメーカー」側でも、8月27日からGPS情報の提供をいったん終了しています。

---

　GPS情報提供の終了については「QRコードメーカー」のサイト上でも告知されており、27日時点でGPS情報（緯度経度情報）の提供を終了、翌28日にはアクセスログのCSVダウンロードサービスも終了に。これにより、少なくとも現在は、コード作成者が利用者のGPS情報を知ることはできなくなっているようです。なお、機能の提供再開については「今のところ未定です」とのことでした。

（沓澤真二）