QRコード決済の仕組みと種類・セキュリティ・ポイント活用術

QRコード決済の仕組みと種類・セキュリティ・ポイント活用術

金融情報

QRコード決済の仕組みを種類・セキュリティ・活用法で徹底解説

静的QRコードに貼り付けた偽シールで、あなたの支払いが別口座に流れます。


📋 この記事の3ポイント要約
📱
QRコード決済には「CPM」と「MPM」の2方式がある

利用者がコードを提示するCPM(ストアスキャン型)と、店舗がコードを提示するMPM(ユーザースキャン型)の違いを理解すると、仕組みの全体像がつかめます。

⚠️
静的QRコードには「なりすまし詐欺」リスクがある

店頭に貼られた静的QRコードは偽物にすり替えられる可能性があります。2025年の国民生活センターへの相談件数は8ヶ月だけで5,107件に達し、被害は深刻化しています。

💰
クレジットカード紐付けでポイントを二重取りできる

QRコード決済アプリにクレジットカードを連携させるだけで、カード側のポイントとアプリ側のポイントが両方貯まります。仕組みを知るだけで実質還元率が上がります。


QRコード決済の仕組みの基本:コードに「お金」は入っていない


QRコード決済を使うとき、「QRコードの中にお金のデータが入っている」とイメージしている方は少なくありません。実際はまったく違います。


QRコードの中に格納されているのは、「誰が・誰に・いくら払うか」という指示情報だけです。コード自体に価値はなく、あくまでも決済サーバーへの入り口として機能します。利用者がスマホのカメラでコードを読み取ると、アプリが情報を解析してサーバーにリクエストを送り、そのサーバーが銀行口座やクレジットカードと連携して実際の決済を完了させる、という流れです。つまり、コードは「アドレスと指示書」の役割を担っているにすぎません。


この構造のおかげで、専用の決済端末がなくても、紙に印刷したQRコード1枚から決済を受け付けることができます。これが、小規模な店舗やキッチンカーでも導入コストを大幅に抑えられる理由です。


QRコードの情報は「TLV形式」という国際規格に基づいて構造化されています。タグ・長さ・値の3要素がセットになったデータの連なりで、加盟店ID、取引金額、通貨コード(日本円は「392」)、店舗名などが格納されます。読み取り時には末尾のCRC(チェックサム)で改ざん検知も行われます。つまり読み取りは高精度です。


また、QRコードには工場の物流管理向けに株式会社デンソーウェーブが開発した背景があり、コードの一部が汚れや傷で欠けても最大30%まで情報を復元できる誤り訂正機能が備わっています。決済現場で使われるコードには一般的にMまたはQレベル(15〜25%の復元率)が採用されており、これが屋外掲示や紙面印刷でも安定して読み取れる理由です。


QRコード決済の仕組みの2方式:CPMとMPMの違いを理解する

QRコード決済には大きく分けて2つの方式があります。どちらの方式かによって、手数料や利便性、セキュリティリスクの性質が異なります。


1つ目はCPM(Consumer Presented Mode:利用者提示型)、いわゆる「ストアスキャン型」です。利用者がスマホアプリを起動してQRコードを画面に表示し、店舗側がリーダーで読み取ります。コンビニのレジやスーパーのPOSシステムで多く採用されており、高速処理が求められる場面に適しています。コードには利用者の識別情報や一時的なトークンが含まれており、処理はサーバー側で完結します。


2つ目はMPM(Merchant Presented Mode:加盟店提示型)、いわゆる「ユーザースキャン型」です。店舗側がQRコードを掲示し、利用者がスマホで読み取ります。小規模店舗や屋台などで広く使われており、店舗側に専用端末が不要なため導入コストが非常に低いのが特徴です。


それがメリットでもあります。ただし、MPM方式には後述する静的QRコードのすり替えリスクという弱点もあります。


| 方式 | コードを提示する側 | 代表的な利用場面 | 特徴 |
|------|------|------|------|
| CPM(ストアスキャン型) | 利用者(スマホ画面) | コンビニ・スーパー | 高速処理・店舗側に端末が必要 |
| MPM(ユーザースキャン型) | 店舗(紙 or 画面) | 個人店・屋台・キッチンカー | 導入コストが低い・静的QR利用が多い |


また、MPM方式にはコードの種類として「静的QR」と「動的QR」の2パターンがあります。静的QRはあらかじめ固定された情報が印刷されたコードで、一度作れば半永久的に使えます。動的QRは会計のたびにサーバーがリアルタイムで生成するコードで、取引金額・有効期限・ワンタイムトークンが埋め込まれます。動的QRのほうがセキュリティが高いということですね。


コード決済の仕組みとシステムアーキテクチャー(NTTデータ)|CPM・MPMの図解や金融システム連携の構成が詳しく掲載されています


QRコード決済の仕組みに潜むセキュリティリスクと偽QR詐欺の手口

QRコード決済は便利な反面、セキュリティリスクを正しく理解していないと、思わぬ被害に遭う可能性があります。特に近年急増しているのが「偽QRコードを使ったすり替え詐欺」です。


MPM方式の静的QRコードは店頭に貼り付けて使うため、その上に偽のシールを貼るだけで別の口座に送金させられてしまいます。この手口は「オーバーレイ攻撃」とも呼ばれ、見た目では本物との区別がほぼつきません。2025年の国民生活センターへの「○○ペイで返金します」という偽返金詐欺の相談件数は、8ヶ月だけで5,107件と過去最多を記録しています。


また、偽メールにQRコードを埋め込む「クイッシング(Quishing)」も急増しており、2024年の偽メール攻撃全体の10.8%をQRコードを使った手口が占めました(KnowBe4調べ)。3年で約10倍に増加したとも報告されています。これは深刻な数字です。


さらに2019年には、サービス開始からわずか半月余りで3,800万円以上の不正利用被害が発生し、開始1ヶ月でサービス廃止を決定したコード決済サービスの事例もあります。被害のスピードと規模を考えると、構造的な対策なしでは防ぎきれません。


💡 不正利用リスクを下げるためにできること。


- 店頭のQRコードを読み取った際は、遷移先の店舗名がアプリ上で正しいか必ず確認する
- 見知らぬチラシや郵便物のQRコードは読み取らない
- 「返金するので○○ペイのQRを表示してください」という指示は詐欺を疑う
- 不審に思ったら国民生活センター(電話番号:188)または最寄りの消費生活センターに相談する


PayPayの不正利用発生率は金額ベースで0.002%と、クレジットカードの0.047%より低い水準に保たれていますが、ゼロではありません。セキュリティ対策は仕組みを理解した上で個人レベルでも取り組むことが条件です。


QRコード決済の手数料の仕組みと、店舗が負担するコストの実態

「QRコード決済は無料で使える」という認識を持っている方は多いでしょう。利用者にとっては確かに無料です。ただし、その裏で店舗側は決済のたびに手数料を負担しています。


QRコード決済の手数料は決済金額に対して1〜3%程度が相場で、この費用は加盟店(店舗)が支払います。クレジットカードの加盟店手数料が多くの場合3%以上であることと比較すると、QRコード決済の手数料は比較的低く設定されています。


主要サービスの手数料を比較すると以下のとおりです。


| サービス名 | 手数料率 |
|------|------|
| PayPay | 1.60%〜1.98% |
| d払い | 2.60% |
| 楽天ペイ | 2.20%〜3.24% |


手数料を利用者に上乗せして請求することは各サービスの規約で禁止されており、違反が発覚すると加盟店契約が解除されます。この点は要注意です。


また、売上が即日入金されるわけではない点も覚えておくべきポイントです。各サービスには入金サイクルがあり、売上金が口座に入るまで数日〜数週間かかることがあります。キャッシュフローを重視する店舗では、このタイムラグが経営上の課題になることもあります。


一方、利用者目線では無料どころかむしろ「プラス」に働くことがあります。ポイント還元キャンペーンやPayPayの「100億円あげちゃうキャンペーン」のような大型施策によって、利用者は支払い金額の数%〜数十%相当のポイントを受け取ることがあるからです。こうしたキャンペーンの原資は事業者側が負担しており、結果として利用者はコストゼロどころか実質的な割引を受けています。これは使えそうです。


なお、複数のQRコード決済に対応したい場合は「JPQR」という統一規格を活用する方法があります。1枚のQRコードでPayPay・d払い・楽天ペイなど複数のサービスに対応でき、店舗側の申し込み・管理の手間を大幅に削減できます。


JPQRとは(一般社団法人 キャッシュレス推進協議会)|QRコード決済の統一規格の概要や導入のメリットが公式情報として掲載されています


QRコード決済の仕組みを活かしたポイント二重取りの具体的な方法

QRコード決済の決済フローを理解すると、ポイント還元を最大化するための「二重取り戦略」が見えてきます。これは仕組みを知っているかどうかで、年間の還元額が数千円から数万円以上変わる可能性がある、まさに「知っていると得する」情報です。


基本の仕組みはシンプルです。QRコード決済アプリにクレジットカードを紐付けて支払うと、クレジットカードのポイント(①)とQRコード決済アプリのポイント(②)の両方が加算されます。この2経路のポイントが同時に発生するのが「ポイント二重取り」の核心です。


具体的な組み合わせ例を挙げると。


- 楽天ペイ × 楽天カード:楽天ペイで1%、楽天カードチャージで1%、合計実質2%還元
- PayPay × PayPayカード:PayPay払いで最大1.0%、PayPayクレジットで最大1.5%、合計最大2.5%還元
- au PAY × au PAYゴールドカード:チャージ時1%上乗せで最大3%超の還元も可能


同系列のカードとQR決済を組み合わせるのが原則です。異なるブランド同士では紐付けが制限されるケースもあるため、事前に確認しておくと安心です。


さらに、ショッピングモールや共通ポイントの加盟店での利用では、店舗独自のポイントも加わる「三重取り」「四重取り」も理論上可能です。例えばイオンでの支払いに楽天ペイ×楽天カードを使いWAONポイントが加算されるケースなどがあります。


ポイントを貯める際の注意点は1つだけです。決済完了後にポイントカードを提示しても遡ってポイントが付かないケースがほとんどなので、必ず「先にポイントカード(アプリ)の提示 → 後から決済」の順で操作するようにしてください。この順番だけ覚えておけばOKです。


金融に関心がある方であれば、還元率の計算を月次・年次で試算してみることをおすすめします。月5万円の支払いを還元率2%で運用するだけで、年間で1万円相当のポイントを得られる計算になります。複数のQR決済を使い分ける場合は、家計簿アプリ(マネーフォワードME等)と組み合わせると、どのサービスでいくら還元されているかを可視化しやすくなります。


QRコード決済の仕組みと日本特有の統一規格JPQRが果たす役割

日本のQRコード決済市場は、PayPayが65.1%、楽天ペイが36.0%、d払いが28.6%(2025年1月調査・MMD研究所)という競合構造にあり、世界的に見ても事業者数が非常に多い市場です。この複雑な状況を整理するために生まれたのが、国内統一規格「JPQR」です。


JPQRは一般社団法人キャッシュレス推進協議会が推進する規格で、国際標準EMVCo(クレジットカードの国際規格を策定する機関)の仕様をベースに、日本の事情に最適化したものです。1枚のQRコードで複数社の決済に対応できる点が最大の特徴で、加盟店は各社に個別申し込みをする必要がなく、管理の手間も大幅に削減できます。


世界的に見ると、QRコード決済は中国(AliPayやWeChat Pay)やインドでの普及率が非常に高い一方、米国では1950年代から普及しているクレジットカード・デビットカードが主流で、QRコード決済はほぼ使われていません。つまり、QRコードが「当たり前」なのはアジア圏特有の現象ともいえます。


日本国内では、2024年のキャッシュレス決済比率が42.8%(141兆円)に達し(経済産業省)、そのうちコード決済は7.9兆円を占めています。コード決済全体の決済回数は2024年に115億回を突破し、前年比23%増というペースで拡大しています。インフキュリオンの「決済動向2025年調査」によれば、コード決済アプリの利用率は過去最高の72%を記録しました。


市場規模として考えると、2025年度には約12兆円規模への拡大が予測されています(NTTデータ推計)。東京都の年間予算に近い規模がスマホ1台で動いているということですね。


このような高成長市場の背景には、スマホ普及率の高さと、政府によるマイナポイント事業などのキャッシュレス促進施策が大きく貢献しています。また、コロナ禍での非接触ニーズが追い風となり、幅広い年齢層への浸透が加速しました。金融インフラとしての地位が確立しつつある今、その仕組みを正確に把握しておくことは、消費者としても投資家としても有益な視点です。


QRコード決済のシェア状況(Square)|経済産業省データを基にしたキャッシュレス比率とQRコード決済市場のシェア解説が掲載されています




ターミナル|プリンター内蔵型、キャッシュレス決済端末|ポータブルPOS端末 ホワイト/クレジットカード、PayPay、電子マネー、タッチ決済対応 A-SKU-0609