QRコード決済の仕組みと安全な使い方を徹底解説

QRコード決済の仕組みを基礎から徹底解説

QRコード決済を毎日使っているのに、不正利用で数万円を失う人が後を絶ちません。

QRコード決済の仕組みをゼロから理解する「2つのスキャン方式」

QRコード決済には、大きく分けて「ユーザースキャン方式（MPM方式）」と「ストアスキャン方式（CPM方式）」という2種類の方式があります。これを知らずに使い続けているのは、仕組みを理解しないまま投資信託を買うのと同じリスクがあります。

ユーザースキャン方式（MPM方式）は、店舗側が提示したQRコードをユーザーがスマートフォンで読み取る形式です。PayPayのコード払いや楽天ペイのコード払いの一部がこれに該当します。店側はQRコードを印刷して貼るだけで済むため、POS端末が不要で初期コストがほぼゼロです。

ストアスキャン方式（CPM方式）は逆に、ユーザー側がアプリ上にバーコードまたはQRコードを表示し、レジのスキャナーで読み取る方式です。セブン-イレブンのセブンペイ（現在は廃止）やd払いのコード払いなどがこれを採用していました。読み取りが素早く、レジの回転率が高い小売店に向いています。

この2方式の違いを理解しておくことが基本です。

決済の流れを具体的に説明します。ユーザースキャン方式の場合、①ユーザーがQRコードをスキャン → ②決済アプリが店舗IDと金額をサーバーへ送信 → ③決済サーバーがユーザーの残高やチャージ残高を確認 → ④承認信号を店舗端末へ返す、というプロセスを約0.3〜1秒以内に完了させます。この速度はクレジットカードのオーソリゼーション（通信承認）と比較しても遜色ありません。

つまり、見た目はシンプルなQRコードの読み取りですが、裏では複数のサーバーが高速で連携しています。

方式	誰がスキャンするか	代表サービス	メリット
MPM方式（ユーザースキャン）	消費者	PayPay、楽天ペイ	店舗の初期費用が低い
CPM方式（ストアスキャン）	店舗	d払い、au PAY	決済スピードが速い

QRコード決済の仕組みで使われる暗号化技術と認証のプロセス

QRコード自体には、決済に必要な「トークン」と呼ばれる一時的な識別情報が含まれています。これが重要なポイントです。

実際の銀行口座番号やクレジットカード番号がQRコードに直接埋め込まれているわけではありません。PayPayやLINE Payなどの主要サービスは、本番情報をトークン化し、1回の決済ごとに異なる暗号文字列を生成する仕組みを採用しています。このトークンは多くの場合、数分〜数十秒で無効化されます。

セキュリティの核心はトークン化です。

通信経路においては、TLS（Transport Layer Security）1.2または1.3が標準的に使われており、データは暗号化されたまま決済サーバーへ届きます。ただし、ユーザースキャン方式で使われる「静的QRコード（印刷されて貼り付けられているもの）」は、このトークンが固定されているため、偽のQRコードへの貼り替えというリスクが存在します。

2019年に福岡で実際に発生した事例では、店舗に貼られた正規のQRコードの上に偽のQRコードを重ねて貼り付け、消費者の決済金が詐欺師の口座に流れていたケースが確認されています。これは静的QRコードの構造的な脆弱性をついた攻撃です。

このリスクに備えるための行動は1つです。支払い前に必ず「QRコードが物理的に貼り替えられていないか」「支払い先の店舗名がアプリ上で正しく表示されているか」を確認するだけで、被害のほぼすべてを防げます。

QRコード決済の仕組みにおける手数料と加盟店コストの真実

消費者側には無料に見えるQRコード決済ですが、加盟店側には決済手数料が発生しています。意外ですね。

PayPayの場合、2021年10月以降、加盟店手数料は売上の1.60〜1.98%（条件により変動）となっています。楽天ペイは3.24%、d払いは2.6%が標準的な手数料率です。クレジットカードの加盟店手数料（平均3〜5%）と比較すると低水準ですが、零細店舗にとっては無視できないコストです。

これは消費者にとっても無関係ではありません。

手数料が高いサービスの決済を嫌がる店舗が、商品価格にそのコストを転嫁するケースがあります。実際、中国の屋台街では「WeChatPay払いは5元増し」という価格設定も珍しくありません。日本では法的グレーゾーンになりますが、「現金払いのみ5%割引」という形で実質的に手数料を消費者に負担させる店舗は存在します。

• 💳 PayPay手数料：売上の1.60〜1.98%（2021年10月〜）




• 💳 楽天ペイ手数料：売上の3.24%




• 💳 d払い手数料：売上の2.6%




• 💳 クレジットカード手数料：平均3〜5%（比較参考値）

金融に関心が高い読者であれば、サービスを選ぶ際にポイント還元率だけでなく加盟店手数料の水準も確認しておくと、消費者として賢い判断ができます。手数料が低いサービスは加盟店にとっても導入しやすく、使える店舗が増える好循環につながるからです。

つまり、手数料の低さを選ぶことは間接的に自分の利益にもなります。

QRコード決済の仕組みから見る「チャージ残高」と「資金移動業」の法的背景

QRコード決済のサービスには、銀行口座やクレジットカードと直接連携するものと、アプリ内に「残高」としてお金をプールするものがあります。この違いは、実は法律上の分類と深く関係しています。

残高をアプリ内に保有するタイプのサービスは、「資金移動業」として金融庁への登録が義務付けられています。PayPay株式会社もLINE Pay株式会社も、この資金移動業者として登録されています。これは「銀行法」ではなく「資金決済に関する法律（資金決済法）」に基づく規制です。

ここが重要な分岐点です。

資金移動業者は、利用者から預かった資金に対して「供託」または「保証委託契約」により保全義務を負っています。つまり、仮にサービス会社が倒産しても、プールされた残高は一定限度まで保護される仕組みになっています。ただし、この保全義務には「1,000万円を超える場合は別途銀行への預け入れが必要」などの条件があり、銀行預金の預金保険（1,000万円まで元本保護）と仕組みが異なります。

2022年のCrypto.com Japanの撤退時や、複数の小規模決済サービス終了時に、残高を取り戻せないユーザーが一時的に問題になった事例があります。これは資金移動業の保全が完全ではないケースで起きています。

残高が大きくなりすぎたまま放置しないことが条件です。月に一度、残高を確認・利用する習慣をつけるだけで、サービス終了リスクを実質的に下げられます。

参考：金融庁「資金移動業者の登録一覧と供託義務について」の概要ページ
金融庁：資金移動業者登録一覧（PDF）

QRコード決済の仕組みを独自視点で読み解く「決済データの経済的価値」

多くの記事が触れないポイントがあります。それは、QRコード決済が「決済インフラ」であると同時に「購買データの収集インフラ」でもあるという側面です。

PayPayは2023年時点で国内登録ユーザー数が6,000万人を超えており、日々何億件もの購買データが蓄積されています。このデータには「誰が、どこで、何を、いくらで買ったか」という情報が含まれており、広告ターゲティングや商品開発への活用が可能です。ソフトバンクグループ全体での活用も公表されており、これはPayPayを無料・低コストで提供し続けられる理由の一つです。

これは使えそうです。

裏を返せば、金融に関心のある読者は「ポイント還元率が高いサービスほど、データ活用に積極的な可能性がある」という視点でサービスを評価できます。プライバシーポリシーを一度確認し、自分のデータがどのように使われているかを把握しておくことは、デジタル社会における「金融リテラシー」の一部と言えます。

楽天ペイは楽天経済圏全体のデータと連携しており、メルペイはメルカリの売買データと購買データを組み合わせた独自の信用スコア（メルスコア）を構築しています。このスコアは将来的にローン審査などへの活用が検討されており、QRコード決済の利用履歴が「見えない信用情報」になりつつあります。

• 📊 PayPay：6,000万ユーザーの購買データをソフトバンクグループが広告事業に活用




• 🛒 楽天ペイ：ECサイト・旅行・証券など楽天経済圏全体のデータと統合




• 📦 メルペイ：フリマアプリの売買履歴と連携した独自信用スコアを構築中




• 🏦 d払い：NTTドコモの通信データと組み合わせた行動分析が可能

消費者にとっては「便利で得なサービス」として映りますが、金融の観点では自分の行動データが資産として扱われていることを理解しておくべきです。サービスを選ぶ際には、ポイント還元率と並んでプライバシーポリシーの透明性を確認することが、これからの時代の金融リテラシーと言えます。

参考：メルペイ公式の信用スコアとデータ活用に関する説明ページ
メルペイ：プライバシーポリシーとデータ活用方針

決済端末 QRコード読み取り台 (1台)