便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か
一般に普及している「QRコード」の企画開発元であるデンソーウェーブが、公式アプリを起動した利用者の位置情報をQRコード作成者に無断で提供しているようであることが分かり、小火になっております。
今やフィンテック業界が挙って導入するなど、まさに飛ぶ鳥を落とす勢いで多方面から注目される2次元バーコードの「QRコード」であります。
で、このQRコード、同規格の開発元であるデンソーウェーブが特許権を所有しておりますが、面白いことにこの特許権を行使せず世界中の誰もが自由に利用できるように公開しています。このあたりの経緯については以下の記事などが参考になります。
儲けるつもりナシ? 中国モバイル決済で再燃、誰も知らないQRコードビジネスの裏側(BUSINESS INSIDER JAPAN 18/5/20)
ちなみに、QRコードはライセンスフリーと言っても、その範囲は「ISO/IEC 18004」で定められている国際標準規格の範囲内のみとなっている。国際標準規格の範囲内であれば無料で利用できるというだけで、もしその規格を逸脱してしまうと、デンソーウェーブの特許権を侵害することになる。実際に過去に規格を逸脱したQRコードを使用する事案がいくつかあり、その都度、注意喚起を行ってきた経緯がある。BUSINESS INSIDER JAPANQRコードの標準化と事業戦略(自動認識コンサルタント柴田彰氏のスライドより)
柴田氏のスライドでは(p.24)、「基本となるQRコードはパブリックドメインで、SQRCはライセンスになっている」と書いてあります。なるほど、QRコードそのものは世界中の人々に自由に使ってもらいつつ関連ソリューションで同社は収益を上げるということのようでして、なかなかスマートなビジネス展開だなと感心します。
ところがここにきて、同社がiPhoneやAndroidスマホ向けに提供しているQRコードリーダーアプリにおいてどうやら素行の良からぬことをやらかしていたことが発覚しました。
「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される(スラド 18/8/11)
いくつかのQRコードリーダーを試していたところ「公式」を謳うQRコードリーダーが起動時に位置情報の取得を要求してくることに気づいた。この「公式」を謳うQRコードリーダーというのは、要するにQRコードについての特許と登録商標を有するデンソーウェーブが自ら提供するアプリであるがゆえに公式であるということのようです。そして同社はその公式アプリだけが独自に反応する特殊なQRコードを生成するためのウェブサービスも提供しているということなんですね。
(中略)
QRコードリーダーのアプリケーション側では、GPSを使った高精度の位置情報がQRコード作成者に提供されることの説明は行われていない。スラド
この「公式」QRコードリーダーは「アクセス解析機能」が有効化された特別なQRコードを読み取ると、GPSを使った高精度の位置情報が開発元のログ収集サーバー(api.qrqrq.com) に送信される仕組みとなっていた({https://pastebin.com/PujFk0ie ログ送信時のキャプチャ])。もちろんQRコード自体に、そのような仕様が存在しているわけではなく、位置情報の送信は「公式QRコード作成サイト]」([https://www.arara.com/news/press/entry5273/ 2017年9月開始) を利用して「シークレット方式」と呼ばれるアクセス解析が有効化されている場合に限られる。しかもスマホ向けアプリの方ではこうした独自のGPS情報提供に限らず、スマホ内のアクセス権限としてQRコード読み取りに必要とは考えられないようなユーザー情報も集めている可能性があるようです。iOS版では残念ながらこうした権限の詳細が不明ですが、Android版で確認したところ、連絡先や通話履歴なども読み取ることができるようになっているほか、端末起動時には必ずこのアプリが起動する設定のようです。
(中略)
他のQRコードリーダーを使って読み取った場合には、シークレット方式によるアクセス解析機能は動作しない。スラド
QRコードをスマホで読み取るためにここまでユーザー情報を相手に知らせる必要があるのかどうか。まあ、無料で便利にQRコードを使わせてもらっているのだから、見返りにそれぐらいの些細な情報であれば提供しても気にならないという感覚のユーザーは昨今はそれほど少なくないのかもしれません。しかし、事前の断りも無く勝手に位置情報などが収集されてしまうのはあまり気分が良いものではありませんし、アプリ上の確認はアプリを使用するうえでの同意に過ぎず、第三者に渡る可能性のある外部に情報を発信して良いというものでは本来ないはずです。利用規約で縛る以前の問題でして、単なるミスにすぎないのか、会社ぐるみで本格的に騙しにいったのか、ちょっと真意が図りかねる展開になってきています。
とここまで書いたところ、さすがに炎上しすぎたのかデンソーウェーブが急転直下で位置情報取得についてのサービス提供を中止という報が入ってきました。
デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止(日経 xTECH 18/8/28)
デンソーウェーブの担当者は、「QRコードリーダーの利用者への説明が不足し、さらにサーバー側で不必要なデータを収集していたため、サービスを中止した」と説明する。日経 xTECHそもそもが公式アプリと独自専用QRコード生成サービスでしか利用できなかった「シークレット方式」でGPS情報を取得できるのが大きなセールスポイントとして謳われていたはずが、「サーバー側で不必要なデータを収集していた」と弁明するのはちょっと筋が通らなすぎていて不思議な感じでありますが、これも何か大人の事情みたいなものなんでしょうか。
[[twitterOFF|OFF]]
[[twitterOFF|OFF]]
しかしながらまだまだ不審な情報も現時点ではあったりするようなので今後の成り行きを見守りたいと思います。