HubSpotのトラッキングが本物の同意シグナルを必要とする理由

HubSpotはトラッキングスクリプト（HubSpot JavaScriptスニペット、通常はhs-scripts.com/{hub_id}.js）が実行されると同時に、訪問者のデバイスに多数のファーストパーティCookieを配置します。最も重要なのは__hstc、hubspotutk、__hsscで、これらが一緒になって訪問者をセッション間で識別し、フォーム送信を匿名の閲覧履歴に結び付け、CRMのリードスコアリングモデルに情報を提供します。GDPRとePrivacy指令のもとで、これら3つはすべて、自由に与えられた、具体的な、十分な情報に基づく、明確な事前同意を必要とする非必須Cookieです。ドキュメントのheadにスニペットを読み込む — これがHubSpotのデフォルトの統合パターンです — と、訪問者に何も尋ねる前にそれらのCookieが配置されます。

その結果は理論的なものではありません。フランス、イタリア、スペインのデータ保護当局は、マーケティングスタックが同意前にトラッキングCookieを設定していた組織に対して、過去2年間でいずれも執行措置を取っています。罰金は小規模パブリッシャーに対する5桁の金額から大企業に対する数百万ユーロの罰金まで多岐にわたります。HubSpotのネイティブCookieバナーは存在しますが、意図的に軽量で、それ自体ではスニペットの実行をブロックしません。ほとんどのコンプライアンスレビュアーは、コントロールレイヤーではなく通知レイヤーとして扱っています。

HubSpotが実際に追跡するもの

HubSpotをゲートする方法を決める前に、どの処理カテゴリが関与しているかを正確に理解することが役立ちます。HubSpotのトラッキング範囲は4つの重複するバケットに分かれており、それぞれに独自の同意上の意味合いがあります。

行動分析

ページビュー、クリック、スクロール、セッション時間のイベントは、トラッキングコードが読み込まれると自動的に収集されます。これらのイベントはHubSpotのコンタクトレコード内で確認できる訪問者のタイムラインを構築し、すべてのリードスコアリングまたはワークフロールールの基盤となります。規制当局の観点からは、これは明快なアナリティクストラッキングであり、EUおよびEEAではオプトイン同意が必要です。UKではICOの2023年ガイダンスが同様に扱っています。

フォームとチャット

HubSpotフォームとHubSpotチャットウィジェット（以前のDrift統合）は、メインのトラッキングスクリプトとは独立して読み込まれるように設定できます。フォーム送信は、ほとんどの法的分析において、独自の法的根拠を持つ別個の処理活動とみなされています。通常は契約履行または正当な利益です。ただし、サードパーティのサーバーでトランスクリプトを記録するチャットは、一般的に録音自体に対する同意が必要です。

クロスドメインID結合

同じHubSpotポータルを複数のドメインにわたって使用する場合、スニペットはそれらのプロパティ間で訪問者をリンクする方法でCookieを設定・読み取ろうとします。これはEDPBが厳密な意味で「トラッキング」と呼ぶものに入り込み、最高リスクのカテゴリです。DPIAの際にフラグが立てられる可能性が最も高いものでもあります。

マーケティング統合

HubSpotは統合を通じてGoogle Ads、Meta、LinkedIn、その他の広告ネットワークにイベントをプッシュできます。これらの転送には、それぞれ独自の同意要件があり、EUでは独自のデータ転送評価が必要です。

HubSpotネイティブバナー vs. サードパーティCMP

HubSpotには、設定 > プライバシー & コンセントから有効にできる組み込みのCookieコンセントバナーが搭載されています。設定可能な通知を表示し、コンタクトに対する同意レコードを記録し、アナリティクスの単一オプトアウトを尊重します。低リスクの管轄区域で運営する非常に小さな組織には、これで十分な場合があります。しかし、コンプライアンスを真剣に考える人や、同意モード対応広告を運用している人には不十分です。

サードパーティCMPに移行する理由は実用的なものです：

• 詳細なカテゴリ。ネイティブバナーは、厳密に必要なCookie、機能的Cookie、アナリティクスCookie、マーケティングCookieを個別のトグルに分離しません。これは規制当局が期待する構造です。
• IAB TCFとGPPのサポート。プログラマティック広告に参加している場合、有効なTC文字列を発行するGoogle認定CMPが必要です。HubSpotのネイティブバナーはこれを行いません。
• Consent Mode v2。GoogleはEEAトラフィックに対してv2形式で提供される同意シグナルを要求するようになりました。専用CMPはこれをエンドツーエンドで接続し、デフォルト拒否設定も含まれます。
• 多言語対応とアクセシビリティ。ほとんどのCMPは30以上の言語パックとWCAG準拠のデフォルト設定を備えています。HubSpotの組み込みバナーはより限定的です。
• 監査グレードのログ記録。専用CMPはタイムスタンプ、バナーバージョン、選択内容とともに各同意決定を記録します。これが規制当局が調査で求める証拠です。

サードパーティCMPとのステップバイステップ統合

確実に機能する統合パターンは、HubSpotスニペットをページに維持しながら、同意の決定が記録されるまで実行を防ぐことです。以下はFlexyConsentを含む最新のCMPに適用できる標準的なアプローチです。

1. ドキュメントheadからデフォルトのスニペットを削除する

サイトテンプレートで、hs-scripts.com/{hub_id}.jsを読み込むインライン<script>タグを削除します。CMPが後で有効化できるプレースホルダーに置き換えます。通常、type属性をtext/plainに設定し、data-category="marketing"のようなカテゴリデータ属性を追加します。

2. HubSpotを正しい同意カテゴリにマッピングする

ほとんどのCMPはIAB TCFまたは4バケットモデルを使用しています：必要、機能的、アナリティクス、マーケティング。HubSpotのトラッキングスクリプトはCRM統合のため、アナリティクスとマーケティングカテゴリの両方に触れます。保守的なマッピングは、スニペット全体を最も制限的なバケットであるマーケティングカテゴリの背後にゲートすることです。CMPが詳細なマッピングを許可している場合は、分割できます：機能的の下にフォームを読み込み、アナリティクスの下にアナリティクスイベントを読み込み、マーケティングの下にCRM IDスティッチングを読み込みます。

3. アクティベーションコールバックを設定する

CMPは、ユーザーがカテゴリの同意を付与したときに発火するイベントまたはコールバックを公開します。そのコールバックで、プレースホルダースクリプトタグのtype属性をtext/javascriptに書き換えてドキュメントに追加します。スクリプトはその後正常に読み込まれて実行されます。SPAの場合、新しくマウントされたページも有効化を受け取るように、すべてのルート変更でコールバックを登録します。

4. Consent Mode v2を接続する

HubSpotと共にGoogle AdsまたはGA4を使用している場合、CMPはGoogleタグが発火する前に、v2同意シグナル — ad_storage、analytics_storage、ad_user_data、ad_personalization — をdataLayerにプッシュする必要があります。HubSpot自体はこれらのシグナルを消費しませんが、スタックの残りの部分は消費します。HubSpotとGoogleの間の不一致は、測定可能な収益ギャップとしてレポートに現れます。

5. 同意の状態をHubSpot CRMに同期する

既知のコンタクトが同意を更新した場合（例：バナーを再訪してマーケティング同意を取り消した場合）、ワークフローロジックがマーケティングメールの送信を停止するように、HubSpotレコードにそれを反映させる必要があります。HubSpot APIはサブスクリプションレベルの更新を受け付けるcommunication-preferencesエンドポイントを公開しています。ほとんどのCMPは、サーバーサイドフックからこのエンドポイントを呼び出すように設定できます。

よくある落とし穴とその回避方法

HubSpotを多用するスタックで見られる監査所見のほとんどは、3つの統合ミスによるものです。

スニペットの読み込みが早すぎる

タグマネージャー内にHubSpotタグを配置し、タグマネージャーが同意を処理すると想定しているチームがあります。Google Tag Managerは同意モードを尊重しますが、明示的に付与状態を要求するタグに対してのみです。HubSpotタグがその要件なしに設定されている場合、GTMは関係なく発火します。タグのAdditional consentフィールドを設定して、発火前にマーケティング同意を要求するように常に設定してください。

フォームスクリプトを忘れる

HubSpotフォームは別のドメイン（forms.hsforms.com）から提供され、独自のスクリプトで埋め込むことができます。メインのトラッキングスニペットをゲートしても、フォームスクリプトを初期レンダリング時に読み込んだままにすると、問題は実際には解決していません。フォームライブラリが独自の識別Cookieを設定するからです。両方をゲートし、CMPに一緒に読み込ませましょう。

オプトアウトをオプトインとして扱う

HubSpotのネイティブ設定には、Do Not Trackオプションとワンクリックオプトアウトが含まれています。これらをGDPRに準拠するための十分なメカニズムとして解釈するチームがあります。そうではありません — GDPRは非必須Cookieに対して肯定的なオプトインを要求しており、プライバシーページに埋め込まれたオプトアウトチェックボックスはその基準を満たしません。CMPを同意状態の権威ある情報源にし、HubSpotがそれに従うように設定してください。

監査対応ドキュメント

技術的な統合が整ったら、最後のステップは証拠の軌跡が規制当局のリクエストに耐えられることを確認することです。最低限、次の記録を保持してください：CMPがHubSpotにマッピングするカテゴリ、任意の日付でライブのコンセントバナーバージョン、有効な同意を示すサンプルTC文字列、および同意が付与される前にHubSpotがトラッキングコールを発火しなかったことを証明するAPIログ。ほとんどの執行措置は技術ではなくドキュメントで行き詰まります — 明確な紙の証跡を作成できる組織は、できない組織よりも調査をはるかに速く解決します。これらのアーティファクトをオンデマンドでエクスポートする同意管理プラットフォームは、監査を数週間の混乱から1日の対応に変えます。