GDPR

GDPR (General Data Protection Regulation) は、2018 年に施行された EU の個人データ保護に関する法規則です。EU 域内の個人データを扱うすべての組織に適用され、違反した場合は全世界売上高の 4% または 2,000 万ユーロのいずれか高い方が制裁金として科されます。日本の改正個人情報保護法や米国カリフォルニア州の CCPA など、世界各国のプライバシー法制に大きな影響を与えました。

QR コードの運用において GDPR が関わる場面は多岐にわたります。動的 QR コードのアクセスログには、IP アドレス、デバイス情報、位置情報、アクセス日時が記録されます。GDPR ではこれらを個人データとして扱うため、収集前にユーザーの同意を取得し、利用目的を明示し、データの保存期間を定め、ユーザーからの削除要求に応じる体制が必要です。

QR コードのランディングページに Cookie 同意バナーを表示する義務も GDPR に由来します。QR コードをスキャンしてページを開いた瞬間にトラッキング Cookie を設定することは、事前同意なしには許されません。これは QR コードマーケティングのアトリビューション分析に直接影響します。

vCard QR コードで名刺情報を交換する場合も、受け取った個人データの管理責任が発生します。イベントで大量の名刺 QR コードをスキャンして CRM に取り込む場合、データ主体の権利 (アクセス権、訂正権、削除権、ポータビリティ権) を保障する仕組みが求められます。QR コードは便利なデータ収集手段ですが、GDPR の下では「収集できる」ことと「収集してよい」ことは別問題です。