QRコードジェネレーターは追跡している?30秒で確認する方法
QRコードの作成は無害に見えます。フォームに入力すると、画像が得られる、それだけです。見えないのは、入力したデータに何が起きているかです。ブラウザ内に留まるのか、プロバイダーのサーバーに送信されるのか。
WiFi、vCard、支払い、その他の個人データでは、この違いが重要です。
早わかり
- オンラインQRジェネレーターは2つの異なるものを追跡できます。入力したデータ(パスワード、連絡先、URL)と、その後QRをスキャンした人。
- 入力データの追跡は、生成がサーバーサイド(データがサーバーに送信される)かクライアントサイド(すべてブラウザ内で起こる)かに依存します。
- スキャンの追跡は動的QRでのみ可能です。QRはすべての訪問を記録するプロバイダーURLを指します。
- QR生成中にブラウザのDevTools(Networkタブ)で30秒で確認できます。
- 機微なデータ(WiFi、vCard、支払い)を入力する場合、クライアントサイド、登録不要、できればオープンソースのジェネレーターを使用してください。
QRジェネレーターに存在するトラッキングの種類
3つの異なるレイヤーがあります。
1. 入力データの追跡
フォームに入力すると(SSID、パスワード、連絡先、URL)、その情報は。
- ブラウザ内に残り、どこにも送信されない(クライアントサイド生成)。
- プロバイダーのサーバーに送信されて画像を構築し、返される(サーバーサイド生成)。その後、ログ、アナリティクス、データベースに残る可能性があります。
ほとんどのオンラインジェネレーターは、デフォルトでサーバーサイドです。実装が最も簡単だからです。プロバイダーが悪意あるという意味ではありませんが、データが彼らのインフラを通過することを意味します。
2. QRを生成するユーザーの追跡
どのウェブサイトとも同様に、ジェネレーターには次のものがある可能性があります。
- アナリティクス(Google Analytics、Plausible、Matomoなど)。
- 第三者Cookieと広告ピクセル(Meta、TikTok、Google Ads)。
- Cookieなしであなたを識別するブラウザフィンガープリンティング。
- あなたが生成するすべてのQRをアイデンティティに紐付ける強制アカウント。
これはQR生成自体とは独立していますが、パッケージの一部です。
3. QRをスキャンする人の追跡
動的QRにのみ適用されます。コードは短いプロバイダーURL(qr.xx/abc123)を指し、実際の宛先にリダイレクトします。各リダイレクトは次の情報と共に記録されます。
- 正確なスキャン時刻。
- ユーザーのIP(おおよその位置)。
- デバイスタイプ、OS、ブラウザ。
- Refererがあれば。
動的QRではスキャン追跡は偶然ではなく、製品の存在理由です。
ジェネレーターが追跡しているか検出する方法(コーディング不要)
最近のブラウザで3分。
- 使用予定のジェネレーターを開きます。
- F12を押す(または右クリック → 検証)、そしてNetworkタブに移動します。
- 赤い録画ボタンを押し、タブを開いたままクリアします(⌀ボタン)。
- QRフォームに任意のデータを入力し、「生成」を押します。
- リストに表示されるリクエストを確認します。
確認するもの:
- 生成中に新しいリクエストが表示されない場合:QRは100%ブラウザ内で構築されています。クライアントサイド。✅
- 生成を押した瞬間に、フィールド(SSID、パスワードなど)をペイロードに含む
POSTリクエストがプロバイダーURLに表示される場合:データはサーバーに送信されています。サーバーサイド。機微データには ❌ - レスポンスがQR画像(PNGまたはSVG)である場合:サーバーがコードを構築していることを確認します。
また、ページがGoogle Analytics、Metaピクセル、その他のトラッカースクリプトを読み込んでいるかも確認してください(google-analytics.com、googletagmanager.com、connect.facebook.netなどへのリクエストが表示されます)。
明らかな危険信号
DevToolsなしでの簡単な指標。
- 基本QRの生成にサインアップまたはアカウントが必要。
- 詳細なスキャン追跡付きの「PRO」プランがある:それがビジネスモデルなら、追跡は製品のDNAにあります。
- ダウンロードしたQRが自分のURLではなく彼らのURLを含む(
yourdomain.comではなくqr.xx/abc123):自動的に追跡される動的QRです。 - プライバシーポリシーが第三者、マーケティングパートナー、広告利用とのデータ共有について言及している。
- ソースコードを公開しておらず、明確なビジネスモデルなしで無料:誰かが支払っているはずで、通常はあなたのデータで支払っています。
ジェネレーターがクライアントサイドであることの確認方法
クイックチェックリスト。
- オフラインで動作する: WiFiを切断し、ページを再読み込みし、生成を試みる。動作すればクライアントサイド。読み込めないか生成できなければ、サーバーに依存しています。
- 生成時にネットワークリクエストがない(上記のようにDevToolsで検証可能)。
- アカウント不要、メール不要。
- ソースコードが検査可能(オープンソースまたはミニファイされていないJavaScript)。
- QRの宛先が入力したそのままで、短縮プロバイダーURLではない。
5つすべて満たせば、ジェネレーターはあなたもスキャンする人も追跡できません。
なぜWiFi、vCard、支払いで最も重要なのか
公開URL(ビジネスウェブサイト、公開PDF)の場合、ジェネレーターがあなたのURLを「見る」ことはリスクを加えません:いずれにせよ公開されるからです。
しかし、追跡が重要な3つのQRタイプがあります。
- WiFi: ネットワークパスワード。プロバイダーのサーバーに送信されると、管理外になります。
- vCard: 個人の電話、メール、住所。個人情報保護法(APPI)やGDPRが対象とする個人データ。
- 支払い / 暗号通貨: ウォレット、口座情報、銀行データ。最高の機微性レベル。
これらのケースでは、クライアントサイドジェネレーターの使用はパラノイアではありません。基本的な衛生です。
オープンソース vs プロプライエタリ
ジェネレーターがオープンソースであることだけでより高いプライバシーを保証するわけではありませんが、次のことができます。
- コードを監査し、隠れた追跡がないことを検証。
- プロバイダーの言葉を信じる必要なく、クライアントサイドロジックを確認。
- 完全な制御が欲しければセルフホスト。
プロプライエタリのジェネレーターも同じくらいプライベートである可能性はありますが、プロバイダーが主張することを信頼する必要があります。監査可能なコードがなければ、検証する方法はありません。
実践的には:オープンソース + アカウントなし + 生成時のネットワークなし = 合理的な最高のプライバシー基準。
まとめ
ほぼすべてのオンラインQRジェネレーターはサーバーでデータを処理します。公開URLには問題ありませんが、WiFi、vCard、支払いには危険です。30秒で確認するには、DevToolsを開き、Networkに移動し、QR生成時にブラウザがリクエストを送信するか確認してください。送信されなければクライアントサイドで、コンテンツはデバイスから出ません。
QRcitoは、すべてのQRを完全にブラウザ内で生成し、アカウントなし、生成時のネットワークなし、第三者トラッカーなしです。生成を押す前にDevToolsを開くことで検証できます。
FAQ
QRジェネレーターにおける「クライアントサイド」とは何ですか? QR画像を構築するJavaScriptがブラウザ内で実行されることです。入力したデータはサーバーに送信されません。生成はローカル、即時、オフライン対応です。
QRジェネレーターが私のデータを保存するのは合法ですか? プライバシーポリシーに宣言していて、あなたが受け入れれば、はい。問題は、多くのポリシーがあいまいか、QR固有のデータをカバーしていないことです。疑わしい場合は、何かを保存すると仮定し、データが機微なら別のツールを選んでください。
静的QRはスキャンした人を追跡できますか? いいえ。静的QRはサーバーを通過しません。情報はコードからリーダーに直接渡されます。動的QR(中間リダイレクトURL付き)のみがスキャンを追跡できます。
個人情報保護法(APPI)はQRジェネレーターにどう適用されますか? vCardに個人データ(名前、メール、電話番号)を入力し、日本のユーザーにサービスを提供するサーバーサイドツールに入力すると、プロバイダーがAPPIの下で処理責任を負います。リスクと義務を最小化する簡単なルートは、クライアントサイドジェネレーターの使用です。
QRcitoはなぜ追跡なしですべてを無料で提供できるのですか? QRコードの生成は高価なインフラを必要としない軽量なプロセスだからです。クライアントサイドなのでユーザーごとのサーバーコストがなく、追跡やアカウントがないので売る製品もありません。サイトは非常に低コストで運営され、ユーザーを収益化する必要はありません。