新聞広告に印刷された二次元コード(QRコード)が、申込画面ではなく管理者用の確認画面に誘導していた——。広島県が2026年6月2日に公表したこの事案では、セミナー申込者86人分の氏名・住所・電話番号などが、誰でも閲覧できる状態になっていました。原因は「公開前にコードを一度もテストしていなかった」という、ごく基本的な抜けです。
QRコードは人の目で中身を確認できません。だからこそ、印刷物や広告に貼るコードは「最後にスマホで読んで確かめる」工程が欠かせない——情シスにとっても他人事ではない教訓です。
この記事でわかること
- 広島県のQRコード誤掲載で何が起きたのか(事実関係)
- なぜ起きたのか——委託先管理と「事前確認のすり抜け」という構造的盲点
- 要配慮個人情報が含まれる漏えいの報告義務(自治体・企業共通)
- 情シス・委託元として明日からできる現実的なチェックポイント
何が起きたのか
広島県が新病院に関する「県民公開セミナー」の告知を委託したところ、委託先が制作した広告に誤ったQRコードが印刷され、申込済みの個人情報が外部から閲覧できる状態になりました。発表によると概要は次のとおりです。
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年6月2日(広島県) |
| 広告掲載 | 2026年5月29日 中国新聞朝刊 |
| 委託先 | ホームテレビ映像株式会社(運営管理業務を受託) |
| 誤りの内容 | 申込用ではなく「管理者確認用」のQRコードを誤って掲載 |
| 閲覧可能になった人数 | 既申込者86人分 |
| 閲覧可能だった情報 | 氏名、フリガナ、属性(一般・医療・行政)、年齢区分、住所、電話番号、質問(健康・疾病に関する相談内容を含む) |
| 実際の閲覧者数 | 確認できていない(未確認) |
問題は広告が出た当日の5月29日午前10時ごろ、申込者からの連絡で発覚しました。県は申込画面を修正したうえで申込を再開し、委託先に謝罪を指示しています。
何が「危ない情報」だったのか
注目すべきは、閲覧可能だった情報に健康・疾病に関する相談内容が含まれていた点です。これは個人情報保護法上の「要配慮個人情報」(本人の病歴など、取扱いに特に配慮を要する情報)に当たり得ます。氏名・住所だけでも問題ですが、健康情報が紐づくと本人への影響は格段に重くなります。
なぜ起きたのか——QRコードという「見えない誘導先」
県の発表が挙げる原因を整理すると、ミスは一点ではなく複数の盲点が重なって起きています。
- 誤ったコードの生成:委託先が、本来は外部に出すべきでない管理者確認用画面に紐づくQRコードを作成していた。
- 取り違えての掲載:申込用ではなく、その管理者用コードを誤って広告に掲載した。
- テストの未実施:掲載前にQRコードを実際に読み取って誘導先を確認する作業をしていなかった。
- 事前確認のすり抜け:県は広告の掲載文を事前確認していたが、その時点ではQRコードが貼付されておらず、コード自体は未確認のままだった。
なぜQRコードのミスは見つけにくいのか?
答えは単純で、QRコードは人の目で中身(誘導先URL)を判読できないからです。文字列なら校正で「URLが違う」と気づけますが、白黒のドット模様は読み取らない限り正誤が分かりません。今回のように「文章は確認したがコードは後付け」という運用だと、最も危険な部分だけが校正の網をすり抜けます。これはフィッシングでQRコードが悪用される(コードのすり替え)のと同じ構造的弱点で、悪意の有無を問わず誰にでも起こり得ます。
情シス目線の課題——「委託したら見えなくなる」もどかしさ
この事案を自社に置き換えると、情シスにとって痛いのは「成果物の細部が委託先の手元で完結し、発注側から見えにくい」という現実です。広告・チラシ・申込フォーム・QRコードといった制作物は、デザインや進行管理の都合で最終版が出るのが締切ぎりぎりになりがちです。そのタイミングで「テスト用URLを本番に差し替えたか」「管理画面が外部公開されていないか」まで発注側がチェックするのは、人員的にもスケジュール的にも簡単ではありません。
だからこそ、属人的な「気をつけます」ではなく、公開前に必ず通る関門として手順に組み込む発想が要ります。今回でいえば「広告に貼るQRコードは、入稿前に発注側・受注側の双方が実機で読み取り、誘導先のURLとログイン要否を目視確認する」という一行を委託契約や校了チェックリストに入れるだけでも、再発の多くは防げたはずです。
情シス・委託元はどうすべきか
個別の長大なチェックリストを自前で抱え込むより、公的機関の指針を土台に「自社の校了プロセス」へ落とし込むのが現実的です。要点だけ押さえます。
1. 委託先管理の基本に立ち返る
委託先の選定・契約・監督は、個人情報を扱う以上、発注側の責任です。IPAの「中小企業の情報セキュリティ対策ガイドライン」には委託先管理の考え方がまとまっており、まずはここを参照して自社の委託フローと突き合わせるのが近道です。
2. 漏えい時の報告義務を理解しておく
個人情報保護法では、要配慮個人情報を含む漏えい等は、人数の多寡にかかわらず個人情報保護委員会への報告(速報+原則30日以内の確報)と本人への通知が求められます。委託先で事故が起きた場合、原則として委託元・委託先の双方に報告・通知義務がありますが、委託先が必要事項を委託元に通知すれば委託先側は免除される、という整理です。実務では「誰が報告するか」を事前に取り決めておくと混乱を避けられます。詳細は個人情報保護委員会の「漏えい等の対応とお役立ち資料」を確認してください。
3. 「公開前テスト」を関門にする
QRコード、申込フォーム、短縮URL、リダイレクト設定——外部に出る導線は、本番環境で一度通しで動かして誘導先を確認する。テスト用と本番用の取り違えは、今回に限らず最も多い事故類型です。手順書に「実機確認・ダブルチェック・記録」を埋め込んでおきましょう。
4. 現場・委託先への啓発を続ける
仕組みを作っても、最後に守るのは人です。QRコードの誘導先は目視で分からないこと、管理画面を外部に露出させないことなど、基本の注意喚起を繰り返す地道な教育が効きます。エンドユーザ向けには、IPAの「対策のしおり」のような平易な資料が役立ちます。
中長期の視点
QRコードは申込・決済・認証と用途が広がり続けており、印刷物に貼られたコードを利用者が無条件にスキャンする習慣も定着しています。それは利便性であると同時に、「誘導先の正しさを誰がどう保証するか」という新しい品質管理の論点でもあります。今回は委託先の単純ミスでしたが、同じ仕組みは外部からのコードすり替え(フィッシング)にも悪用されます。発注側として「導線の正しさを公開前に検証する文化」を根づかせることが、結果的に悪意ある攻撃への耐性にもつながります。
まとめ
- 広島県の新聞広告で、申込用ではなく管理者用のQRコードが誤掲載され、申込者86人分の個人情報(健康相談など要配慮情報を含む)が閲覧可能になった。原因は公開前テストの未実施と、コード後付けによる事前確認のすり抜け。
- QRコードは中身を目視できないため、校正の網をすり抜けやすい。外部に出す導線は「実機で読み取り、誘導先を確認」を関門として手順に組み込むことが要。
- 要配慮個人情報を含む漏えいは人数にかかわらず報告義務がある。委託先管理と報告フローを平時から整理し、IPA・個人情報保護委員会の公的指針を土台に自社プロセスへ落とし込む。
