業務で使うQRコードの安全確認：店舗POP、請求書、アンケート、決済導線を見直す

店舗、事務所、イベント会場、請求書、チラシ、名刺、アンケート、採用案内などで、QRコードを使う場面が増えています。

スマートフォンで読み取るだけでWebサイトやフォームへ案内できるため、QRコードはとても便利です。

たとえば、次のような使い方があります。

店舗POPからキャンペーンページへ案内する
請求書や見積書から支払方法の説明ページへ案内する
来店後アンケートや満足度調査フォームへ案内する
採用チラシから応募フォームへ案内する
セミナー資料から申込ページや資料ダウンロードページへ案内する
店舗メニュー、予約ページ、LINE公式アカウントへ案内する
決済アプリや会員登録ページへ案内する

しかし、QRコードには見落とされやすい注意点があります。

QRコードは、読み取るまでリンク先が分かりにくいものです。紙に印刷されていれば、後から上に別のQRコードシールを貼られても、利用者が気づきにくい場合があります。また、メール本文に画像として貼られたQRコードは、URLリンクを検査するフィルタリング機能をすり抜けることがあり、従業員が私物スマートフォンで読み取ると、会社側のセキュリティ対策を迂回することがあります。IPAも、QRコードを悪用したフィッシング、いわゆるクイッシングについて、この点を注意点として説明しています。

この記事では、QRコードを「読み取る側」の注意だけでなく、自社がQRコードを作成・掲示・送付する側として確認すべきことを整理します。

QRコードは「小さな入口」になる

QRコードそのものが危険というわけではありません。
問題は、QRコードの先にあるWebサイト、フォーム、決済ページ、クラウドファイル、アプリ導線が適切に管理されていないことです。

QRコードから偽サイトへ誘導されると、次のような被害につながる可能性があります。

ID・パスワードを入力してしまう
クレジットカード情報を入力してしまう
氏名、住所、電話番号などの個人情報を入力してしまう
不正なアプリをインストールしてしまう
偽の決済ページで支払ってしまう
会社の正規キャンペーンだと思って顧客が被害に遭う
自社ブランドや店舗の信用が低下する

警察庁は、フィッシングを、実在のサービスや企業をかたり、偽のメールやSMSで偽サイトへ誘導し、ID・パスワード等を盗んだり、マルウェアに感染させたりする手口と説明しています。入力を求められる情報の例として、金融機関の口座番号、クレジットカード番号、住所、氏名、電話番号、メールやSNSのID・パスワード、本人確認書類画像なども挙げられています。

QRコードは、この「偽サイトへの誘導」に使われることがあります。

IPAは、実在する事業者をかたってQRコードを掲載したメールを送り、利用者がスマートフォンで読み取ると偽サイトに誘導される手口を紹介しています。目的は、大手ITサービスのID・パスワードやクレジットカード情報の詐取であることが多いとされています。

海外でも、QRコードの上に偽のQRコードを貼る手口が注意喚起されています。米国FTCは、駐車メーターのQRコードが別のQRコードで覆われる事例や、メール・SMSでQRコードを送って読み取らせる事例を紹介し、QRコードが偽サイトやマルウェアにつながる可能性を説明しています。

中小企業でも、店舗POP、請求書、チラシ、掲示物、アンケート用紙、イベント資料にQRコードを載せている場合は、「作った後の管理」が必要です。

1. まずQRコードを一覧化する

最初に行うべきことは、自社で使っているQRコードの棚卸しです。

QRコードは、名刺、チラシ、ポスター、請求書、メール署名、店頭POP、社内掲示、SNS投稿、プレゼン資料など、さまざまな場所に散らばります。

一度作ると、そのまま何年も残りやすいのも特徴です。

まずは、次のようなQRコードがないか確認しましょう。

店舗に貼っているQRコード
レジ横や受付に置いているQRコード
請求書、見積書、納品書に印刷しているQRコード
チラシ、パンフレット、名刺に載せているQRコード
採用資料や求人広告に載せているQRコード
セミナー資料やイベント資料に載せているQRコード
アンケート用紙に載せているQRコード
SNS投稿画像に埋め込んだQRコード
メール署名やPDF資料に入っているQRコード
社内掲示やマニュアルに載せているQRコード

一覧化するときは、次の項目を記録します。

項目	記入例
QRコード名	店舗アンケートQR、請求書支払案内QR
掲載場所	レジ横POP、請求書PDF、採用チラシ
リンク先URL	自社サイト、フォーム、決済ページなど
用途	アンケート、予約、支払案内、資料請求
管理者	店長、総務、経理、Web担当、制作会社
作成日	2026年6月など
使用期限	キャンペーン終了日、イベント終了日
個人情報の入力有無	あり、なし
決済情報の入力有無	あり、なし
見直し予定日	月1回、四半期ごと、キャンペーン終了後
対応方針	継続、差し替え、削除、確認中

大切なのは、QRコードの画像そのものではなく、リンク先、用途、管理者、終了予定を把握することです。

2. リンク先のURLを確認する

QRコードを作成するときは、リンク先のURLを必ず確認します。

特に注意したいのは、次のようなURLです。

自社とは関係が分かりにくいドメイン
無料フォームサービスのURL
短縮URL
QRコード作成サービスのリダイレクトURL
旧ドメイン、旧ブランド名のURL
キャンペーン終了後も残っているURL
管理者が分からないページ
SSL証明書エラーが出るページ
ログインや決済を求めるが説明が不十分なページ

フィッシング対策協議会の事業者向けガイドライン2026年度版では、ドメイン名は利用者が安全性を判断するために最も重要な要素であり、Webサイト運営者はドメイン名を自社ブランドとして認識し、利用者への周知と維持に継続的に取り組むことが求められると説明されています。

QRコードでも同じです。

利用者がQRコードを読み取った後、表示されたURLや画面を見て、
「これは本当にこの会社のページだ」
と判断しやすい状態にする必要があります。

そのため、重要なQRコードでは、できるだけ次のような導線にします。

自社ドメインのページへ誘導する
自社サイト内に案内ページを作る
その案内ページから外部フォームや決済ページへ遷移させる
外部サービスを使う場合は、どのサービスへ移動するのか説明する
QRコードの近くに短い説明文を入れる

たとえば、アンケートフォームへ直接飛ばす場合でも、
「このQRコードは当社アンケートフォームに移動します」
「入力いただく情報は、サービス改善のために利用します」
といった説明を添えるだけで、利用者は確認しやすくなります。

3. 短縮URLや不明なリダイレクトを使いすぎない

QRコードでは、見た目を短くするために短縮URLが使われることがあります。

短縮URL自体が必ず危険というわけではありません。
しかし、利用者から見ると、最終的にどのサイトへ移動するのか分かりにくくなります。

特に、次のようなQRコードは避けたいところです。

誰の短縮URLか分からない
作成者が退職して管理できない
QRコード作成サービスのアカウントが分からない
リンク先を後から変更できるが、変更履歴が残っていない
キャンペーン終了後も別ページへ転送され続けている
外部委託先しか管理画面に入れない

便利なQRコード作成サービスや短縮URLサービスを使う場合は、次の点を確認しましょう。

管理アカウントは会社名義か
個人メールアドレスで登録していないか
退職者しかログインできない状態になっていないか
リンク先変更の権限を誰が持っているか
変更履歴やアクセスログを確認できるか
有料プラン解約後にQRコードがどうなるか
サービス停止時にQRコードがどうなるか
個人情報や決済情報を入力する導線に使ってよいか

QRコードのリンク先を後から変更できる仕組みは便利です。
一方で、管理アカウントを乗っ取られたり、担当者不明になったりすると、正規のQRコードから意図しないページへ誘導される可能性があります。

中小企業では、少なくとも決済、個人情報入力、会員登録、採用応募、顧客アンケートに使うQRコードは、管理者とリンク先を明確にしておきましょう。

4. 店舗POP・掲示物は「上から貼られていないか」を確認する

店舗や事務所でQRコードを掲示している場合は、物理的な差し替えにも注意が必要です。

紙のポスターやPOPは、上から別のQRコードシールを貼られても気づきにくい場合があります。

確認したい場所は次のとおりです。

店舗入口
レジ横
受付カウンター
待合室
テーブル上のメニュー
トイレや掲示板
イベント会場の案内板
駐車場、駐輪場、券売機まわり
店外に置いた看板
無人受付やセルフレジ周辺

米国FTCは、駐車メーターのQRコードが別のQRコードで覆われる事例を紹介しています。これは海外の注意喚起ですが、紙やシールで掲示するQRコードは物理的に差し替えられる可能性がある、という点は店舗やイベント運営でも参考になります。

店舗でQRコードを掲示する場合は、次のような運用を検討しましょう。

QRコードの近くに公式ドメインを文字でも記載する
ラミネートや一体印刷で簡単に上貼りできないようにする
レジ横や受付など、スタッフの目が届く場所に置く
店外掲示物は開店前・閉店後に確認する
イベント終了後は掲示物を回収する
不審なシールや貼り替えを見つけたら写真を撮って記録する

QRコードはデジタルの入口ですが、掲示物として使う場合は、物理的な点検も必要です。

5. 請求書・支払案内のQRコードは特に慎重に扱う

請求書や支払案内にQRコードを載せる場合は、特に注意が必要です。

金銭の支払いに関係するため、偽のQRコードや偽の支払ページに誘導されると、顧客被害や信用低下につながる可能性があります。

確認したい項目は次のとおりです。

QRコードのリンク先は自社が管理しているか
支払先名義を明記しているか
振込先や決済サービス名を文字でも記載しているか
QRコードだけで支払判断させていないか
請求書PDFを送るメールの送信元は統一されているか
請求書の再発行や差し替え時の手順を決めているか
顧客から「このQRコードは本物か」と確認できる窓口があるか
旧請求書テンプレートに古いQRコードが残っていないか

フィッシング対策協議会の事業者向けガイドライン2026年度版では、利用者に送信するメールでは送信者を確認できるように送信ドメイン認証技術等を利用すること、作成・送信に関するガイドラインを策定し、これに則って行うことが求められています。

請求書メールにQRコードを載せる場合も、メールの送信元、件名、本文、問い合わせ先、支払案内の書き方を統一しておくことが重要です。

避けたいのは、担当者ごとに違う文面、違うメールアドレス、違うQRコード、違う支払案内を送ることです。
正規の案内が毎回バラバラだと、顧客は本物と偽物を見分けにくくなります。

6. アンケート・申込フォームは個人情報の扱いを確認する

QRコードからアンケートフォーム、予約フォーム、資料請求フォーム、採用応募フォームへ誘導する場合は、個人情報の取扱いを確認する必要があります。

QRコードの先で、次のような情報を入力してもらっていないでしょうか。

氏名
会社名
電話番号
メールアドレス
住所
生年月日
職歴、学歴
問い合わせ内容
写真、本人確認書類
健康情報、家族情報
取引内容、相談内容

個人情報保護委員会のガイドラインでは、個人情報取扱事業者は、取り扱う個人データの漏えい、滅失、毀損の防止その他の安全管理のために、必要かつ適切な措置を講じなければならないとされています。また、その措置は、事業の規模や性質、個人データの取扱状況、記録媒体の性質等に起因するリスクに応じた内容でなければならないと説明されています。

QRコードからフォームへ誘導する場合は、少なくとも次の点を確認しましょう。

フォームの管理者は誰か
回答データの保存先はどこか
回答データを閲覧できる人は誰か
退職者や外部委託先が閲覧できる状態になっていないか
回答データの保存期間を決めているか
不要になった回答データを削除しているか
入力前に利用目的を説明しているか
個人情報を入力する必要が本当にあるか
フォームURLを知っている人なら誰でも回答できる状態でよいか
フォームの公開終了日を決めているか

特に無料フォームや個人アカウントで作ったフォームは、退職後や担当変更後に管理できなくなることがあります。

アンケートや申込フォームは、
「QRコードを作った人」ではなく、「会社として誰が責任を持つか」
を決めておきましょう。

7. キャンペーン終了後・イベント終了後にQRコードを放置しない

期間限定キャンペーンやイベントで使ったQRコードは、終了後の扱いを決めておく必要があります。

よくある問題は、次のようなものです。

終了したキャンペーンページが残っている
古い申込フォームが回答可能なままになっている
イベント資料のQRコードが古いページに飛ぶ
採用チラシのQRコードが過去の求人に飛ぶ
管理者が退職し、リンク先を変更できない
旧ドメインへ飛ぶが、今は管理していない
サービス解約後、QRコードがエラーになる
QRコード作成サービスの広告ページへ飛ぶ

終了後のQRコードには、次のいずれかの対応が必要です。

ページを閉じる
終了案内ページに変更する
最新ページへリダイレクトする
フォーム受付を停止する
個人情報を含む回答データを整理する
店舗や会場の掲示物を撤去する
チラシやPDFの配布を停止する
次回利用のために台帳へ記録する

大切なのは、QRコードを作る時点で終了後の扱いまで決めることです。

「キャンペーンが終わったら誰がQRコードを確認するか」
「フォームはいつ閉じるか」
「回答データはいつ削除するか」
「古いチラシは回収するか」

ここまで決めておくと、放置を防ぎやすくなります。

8. メールやSMSでQRコードを送る場合は慎重にする

メールやSMSにQRコード画像を入れて送る運用は、慎重に考える必要があります。

IPAは、QRコードは画像であるため、メールに記載されたURLリンクを検査するフィルタリング機能をすり抜けることがあり、従業員が私物スマートフォンで読み取ると組織のセキュリティ対策機能を迂回してしまうと説明しています。

FTCも、予期しないメールやテキストメッセージ内のQRコード、特にすぐ行動するよう急かすものは読み取らないよう注意喚起しています。

自社から顧客や取引先へQRコードを送る場合は、次の点を確認しましょう。

本当にQRコードで送る必要があるか
通常のURLリンクや公式サイト案内で代替できないか
送信元メールアドレスは統一されているか
件名や文面は毎回統一されているか
QRコードの近くにリンク先ドメインを文字で書いているか
パスワードやクレジットカード情報の入力を急がせていないか
「至急」「本日中」「アカウント停止」など不安を煽る表現を使っていないか
問い合わせ先を明記しているか
公式サイトにも同じ案内を掲載しているか

フィッシング対策協議会の事業者向けガイドラインでは、利用者に情報を発信する手段、ケース、時間帯、差出人、件名、本文、問い合わせ先などを作成・送信に関するガイドラインに含めることが望ましいとされています。

QRコード付きメールも、会社としての送信ルールに含めておきましょう。

9. 従業員向けにも「QRコードを読み取る前の確認」を周知する

自社がQRコードを作る側であっても、従業員は日々さまざまなQRコードを読み取ります。

たとえば、次のような場面です。

取引先から送られた請求書のQRコード
セミナー資料のQRコード
宅配通知を装うQRコード
社内チャットに貼られたQRコード画像
店舗や駅、駐車場に貼られたQRコード
展示会ブースのQRコード
求人・採用関連のQRコード
生成AIやクラウドサービスのログイン案内QRコード

従業員向けには、次のように周知すると実務的です。

予期しないQRコードはすぐ読み取らない
読み取り後に表示されるURLを確認する
自社や取引先と関係が分からないドメインなら入力しない
ID・パスワード、カード情報、認証コードを安易に入力しない
急がせる文面や不安を煽る文面に注意する
業務アカウントのログインはブックマークや公式アプリから行う
読み取り後にアプリのインストールを求められたら中断する
判断に迷ったら上長や管理担当者に確認する

利用者向けフィッシング詐欺対策ガイドライン2026年度版では、フィッシングは実在する組織をかたり、ユーザーネーム、パスワード、アカウントID、暗証番号、クレジットカード番号などを詐取するものと定義されています。また、犯罪者は利用者が気づきにくい手口や新しい手口を次々と編み出すため、常に関心と警戒意識を維持することが大切だと説明されています。

QRコードも、メール本文のURLと同じように、リンク先確認の対象にしましょう。

10. 不審なQRコードを見つけた場合の初動を決める

店舗や事務所で、不審なQRコードを見つけた場合の初動も決めておきましょう。

たとえば、次のようなケースです。

店舗POPのQRコードの上に別のシールが貼られている
自社名をかたるQRコード付きメールが顧客に届いている
請求書のQRコードが改ざんされた疑いがある
アンケートQRコードのリンク先が見知らぬページになっている
自社キャンペーンを装う偽ページへ誘導されている
顧客から「このQRコードは本物ですか」と問い合わせがある

初動としては、次の順番で対応します。

不審なQRコードを写真で記録する
掲示場所、発見日時、発見者を記録する
QRコードを不用意に読み取らず、必要に応じて安全な環境で確認する
店舗やWeb上の該当QRコードを一時撤去する
正規のQRコードとリンク先を確認する
顧客が入力した可能性のある情報を確認する
決済や個人情報入力が関係する場合は影響範囲を確認する
必要に応じて顧客・取引先へ注意喚起する
WebサイトやSNSで正規の案内を掲示する
再発防止として掲示物、テンプレート、台帳を見直す

フィッシング対策協議会の利用者向けガイドラインでは、同様の被害拡大を防ぐため、フィッシング対策協議会への情報提供を案内しています。また、金銭的被害など実質的な被害が確認された場合は、都道府県警察のサイバー犯罪相談窓口への相談も示されています。

自社ブランドをかたるQRコードや偽ページが確認された場合は、顧客対応、関係機関への相談、Web制作会社・決済事業者・フォーム事業者への連絡を含め、対応手順を記録しておきましょう。

11. QRコード作成時の社内ルールを決める

QRコードは誰でも簡単に作れます。

だからこそ、会社としてのルールが必要です。

最低限、次のルールを決めておくとよいでしょう。

QRコードを作ってよい担当者を決める
会社で使ってよいQRコード作成サービスを決める
個人アカウントで業務用QRコードを作らない
QRコード作成前にリンク先URLを確認する
個人情報や決済情報を入力させる導線は責任者が確認する
掲示物や印刷物に載せる前に読み取りテストを行う
QRコードの近くにリンク先の説明を入れる
使用期限や終了後の扱いを決める
作成したQRコードを台帳に記録する
キャンペーン終了後や担当者変更時に見直す

特に、広報、営業、店舗、採用、経理、イベント担当がそれぞれQRコードを作っている場合は、管理が分散しやすくなります。

「誰でも作れる」状態から、
「誰が作り、誰が確認し、いつ終了するか分かる」状態
へ変えることが重要です。

12. 外部委託先に確認したいこと

Web制作会社、広告代理店、印刷会社、決済事業者、フォーム作成代行会社にQRコード作成を依頼する場合は、次の点を確認しましょう。

QRコードのリンク先URLはどこか
QRコード作成に使ったサービスは何か
QRコードの管理アカウントは誰が持つか
リンク先を後から変更できるか
変更できる場合、誰が変更できるか
アクセス解析を使う場合、どの情報を取得するか
個人情報を入力するフォームの管理者は誰か
回答データの保存先と閲覧権限はどうなっているか
キャンペーン終了後にフォームやページを停止するか
印刷物納品後にQRコードを読み取って確認したか
契約終了後にQRコードやフォームはどう扱われるか

外部委託先に任せること自体は問題ありません。

ただし、QRコードのリンク先、フォーム、回答データ、決済導線は、最終的には自社の顧客や取引先に影響します。
そのため、「委託先が作ったから分からない」という状態は避けましょう。

QRコード安全確認チェックリスト

最後に、中小企業向けのチェックリストをまとめます。

自社で使っているQRコードを一覧化している
QRコードの掲載場所を把握している
QRコードのリンク先URLを確認している
QRコードの管理者を決めている
使用期限、終了日、見直し日を決めている
QRコードの近くにリンク先の説明を記載している
重要な導線では自社ドメインや公式ページを使っている
短縮URLや不明なリダイレクトを使いすぎていない
QRコード作成サービスの管理アカウントを会社で管理している
店舗POPや掲示物に不審な上貼りがないか確認している
請求書や支払案内のQRコードは支払先情報と照合できる
アンケートや申込フォームの個人情報の扱いを確認している
フォームの回答データの保存先と閲覧権限を確認している
キャンペーン終了後にQRコードやフォームを放置していない
メールやSMSでQRコードを送る場合の文面ルールがある
従業員にQRコード読み取り時の注意点を周知している
不審なQRコードを見つけた場合の連絡先を決めている
外部委託先が作成したQRコードの管理権限を確認している
QRコード台帳を定期的に見直している

すべてを一度に整える必要はありません。

まずは、店舗POP、請求書、アンケート、採用・イベント資料に載っているQRコードから確認してみましょう。

まとめ

QRコードは便利な案内手段です。
しかし、リンク先が見えにくく、紙やシールで差し替えられる可能性があり、メールやSMSではフィッシングに悪用されることもあります。

中小企業でまず確認したいのは、次の5点です。

自社で使っているQRコードを一覧化する
リンク先URL、管理者、使用期限を確認する
店舗POPや掲示物に不審な差し替えがないか確認する
請求書、決済、アンケート、採用フォームなど重要な導線を優先して見直す
不審なQRコードを見つけた場合の連絡・撤去・注意喚起手順を決める

QRコードは「作って終わり」ではありません。
自社のWebサイト、フォーム、決済、顧客情報へつながる小さな入口として、定期的に見直すことが重要です。

ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者を対象に、情報セキュリティの現状診断を行っています。同診断では、メール添付ファイル、URLリンク、請求書メールへの対応ルール、Webサイト、問い合わせフォーム、クラウド利用、情報資産、インシデント対応体制なども確認項目に含まれています。

自社のQRコード、フォーム、請求書、店舗掲示物の管理に不安がある場合は、まずは「どこにQRコードがあり、どこへつながっているか」を確認するところから始めてみてください。

投稿タグ: QRコード, アンケートフォーム, クイッシング, フィッシング, リンク管理, 中小企業の情報セキュリティ, 個人情報保護, 偽サイト, 店舗セキュリティ, 決済導線, 短縮URL, 請求書

MENU