Klaviyo Onsiteトラッキングが収集するもの

Klaviyo Onsiteスニペット（static.klaviyo.com/onsite/js/klaviyo.jsから読み込まれる）は、グローバル_learnqキューを初期化し、__kla_idというKlaviyo所有のCookieで訪問者を識別します。インストールされると、自動的にページビューイベントを報告し、フォームインタラクションをキャプチャし、KlaviyoのBrowse Abandonmentフローを駆動するActive On Siteイベントを発火し、訪問者がログインするかメールアドレスを含むフォームを送信した瞬間に、匿名の閲覧行動を既知のサブスクライバープロファイルに結びつけます。その後のイベント（商品閲覧、カート追加、チェックアウト開始、注文完了）も同じID基盤を通じて発火し、同じCookieベースのアトリビューションを継承します。

GDPR分析において、このCookieは非必須であり、ページを離れるデータは永続的な識別子に紐付けられているため個人データであり、Klaviyoは米国に設立されているため、転送はEU-USデータプライバシーフレームワークの対象となります。この3つの条件すべてが、Klaviyo Onsiteトラッキングを、EU、UK、EEA、およびLGPD下のブラジルにおける「事前同意が必要」な領域にしっかりと押し込みます。カリフォルニアでは、同じ処理がCPRAのクロスコンテキスト行動広告のための共有のオプトアウト権に該当し、Klaviyoの下流の有料メディア先への共有がこれを引き起こします。

ゲートする必要がある3つのトラッキング面

Klaviyoのインストールは1つのトラッキング面ではなく3つであり、CMP統合では別々に扱う必要があります。

Onsiteトラッキングスクリプト

これがメインの行動トラッカーです。__kla_idを設定し、Active On Siteイベントストリームを駆動するスクリプトです。ほとんどのチームが覚えているゲート対象であり、監査において規制当局が最も目にするものです。デフォルトでブロックし、訪問者がマーケティングカテゴリーを承諾した場合のみ読み込みます。

Klaviyo Formsとサインアップポップアップ

Klaviyo Formsは、メール・SMSサインアップポップアップ、埋め込みフォーム、ゲートコンテンツアンロックを駆動する別のライブラリです。同じドメインでホストされていますが、別のスクリプトとして読み込まれます。FormsはメインのOnsiteトラッカーとは独立してインプレッションイベントと送信イベントを発火できるため、Onsiteのみをゲートし、Formsの読み込みを放置することは、依然として識別データを漏洩させる一般的な部分準拠パターンです。

SMSオプトイン収集

SMSサインアップは、米国のTCPA、およびEUのセクター固有規則の下で独自の同意要件を持ち、KlaviyoのSMSフォームはチェックボックスで確認された同意とともに電話番号を収集します。ここで収集される同意はSMSメッセージング自体のためのものであり、Cookie同意とは別です。正しく構成されたスタックは両方を記録します：CMPにおけるCookie同意、Klaviyoサブスクライバープロファイルにおける SMS 同意。

ネイティブKlaviyoプライバシーコントロール

Klaviyoはいくつかのネイティブプライバシープリミティブを公開しています。ほとんどのマーケティングプラットフォームと同様、同意決定が存在し、渡されることを前提としています。同意自体を収集するものではありません。

識別呼び出しにおけるconsentプロパティ

klaviyo.identify()またはklaviyo.track()を呼び出す際、マーケティング通信の法的根拠を記録する同意ペイロードを添付できます。これは、CMPの決定をKlaviyoのサブスクライバープロファイルに渡すための適切なプリミティブです。

プロファイルレベルの同意フィールド

サブスクライバープロファイルには、メール同意、SMS同意、同意ソースの専用フィールドがあります。これらのフィールドへの更新はKlaviyoのセグメンテーションエンジンに伝播し、フローが記録された状態を尊重します。

Privacy & Consent設定パネル

Klaviyoの管理UIには、いくつかのデフォルト動作を制御するPrivacy & Consentセクションがあります。例えば、記録された同意のない訪問者に対してActive On Siteイベントが発火するかどうかなどです。デフォルトは寛容です。これらの設定を厳しくすることは、CMPレベルのゲートの上に追加の安全層を設けることになります。

ステップバイステップCMP統合

信頼できるアーキテクチャは、3つすべてのKlaviyoトラッキング面をCMPの背後にゲートし、Klaviyoの識別・追跡呼び出しの同意プロパティを使用して、プラットフォームのサブスクライバーレコードを記録された同意状態と同期させることです。

1. ヘッドからデフォルトのOnsiteスニペットを削除する

Klaviyoは、インストーラーが通常ドキュメントヘッドに貼り付ける1行スニペットを提供します。これを削除してください。type属性がtext/plainで、data-category属性がマーケティングとして識別するプレースホルダースクリプト要素に置き換えます。訪問者がマーケティングカテゴリーを承諾すると、CMPがタイプをtext/javascriptに書き換えます。

2. Klaviyo Formsの読み込みを延期する

FormsライブラリはOnsiteとは独立して読み込まれます。同じプレースホルダーパターンをそのスクリプト要素に適用し、同意前に初期化しないようにします。同意が付与された後、OnsiteとFormsの両方を一緒に初期化できます。キューに入れられたイベントは自動的にフラッシュされます。

3. SMS同意をCookie同意から分離する

SMSオプトイン収集はKlaviyo Formsを通じて実行されますが、収集される同意（SMSマーケティングのための明示的チェックボックス）はCookie同意とは別の法的成果物です。CMPバナーはCookie決定を記録し、フォームチェックボックスはSMS決定を記録します。これらをバンドルしないでください。バンドルされた同意はGDPRとTCPAの両方の下で無効です。

4. 同意をKlaviyoプロファイルに伝播する

既知のサブスクライバーがサイト上で同意を承諾または取り消す場合、CMPはKlaviyo APIを呼び出してプロファイルの同意フィールドを更新する必要があります。Klaviyo Profiles APIは、プロファイルの残りを上書きせずにメール同意、SMS同意、同意タイムスタンプを書き込む部分更新呼び出しをサポートしています。ほとんどの最新CMPには、これをエンドツーエンドで処理するKlaviyoコネクタがあります。

5. Googleタグを並行実行する場合はConsent Mode v2を配線する

ほとんどのKlaviyo使用ストアはGoogle AdsとGA4も実行しています。CMPは、Googleタグが発火する前にv2同意シグナル（ad_storage、analytics_storage、ad_user_data、ad_personalization）をdataLayerに公開する必要があります。Klaviyoはこれらのシグナルをネイティブには消費しませんが、Googleは消費し、KlaviyoとGoogleの間の不一致は、アトリビューションレポートにおける測定可能な収益ギャップとして現れます。

一般的な落とし穴

Klaviyoデプロイメントの監査で繰り返し現れる4つの統合ミスがあります。

Formsを「単なるポップアップ」として扱う

一部のチームは、Onsiteをマーケティングの下にゲートしますが、「ポップアップは単なるUI要素」と理由付けして、Formsを初期レンダリング時に読み込んだままにします。Formsライブラリは、表示されるすべてのポップアップのインプレッションイベントをKlaviyoに発火します。これは、米国の広告技術ベンダーに転送される識別行動データであり、CMPが防ぐべきまさにそのパターンです。

CookieとSMS同意をバンドルする

「Cookieとマーケティング SMS の受信に同意します」という単一のチェックボックスは、両方において無効です。Cookie同意はCookieに固有でなければならず、SMS同意はSMSに固有でなければなりません。別々のコントロールを使用してください。

サードパーティ有料メディアコネクタを取り消されたプロファイルで発火させる

KlaviyoはオーディエンスをGoogle Ads、Meta、TikTok、その他の広告ネットワークに統合を介してプッシュできます。サブスクライバーが同意を取り消した場合、オーディエンスプッシュは彼らを削除する必要があります。新規追加を停止するだけではありません。Klaviyoのオーディエンス同期設定を、初回同期だけでなくリアルタイムで同意状態の変更を尊重するように構成してください。

履歴データの質問を忘れる

訪問者が初めて同意を承諾する際、スタックは同意前の匿名行動を新しいプロファイルに遡及的に関連付けるべきではありません。CMPとKlaviyoは、同意前の閲覧データが現在識別されたプロファイルに紐付けられた個人データではないことに同意すべきです。一部のKlaviyoフローは、デフォルトでこの関連付けを前提としています。関連するフロートリガーを確認してください。

監査チェックリスト

EU、UK、ブラジル、カリフォルニアのトラフィックを扱うKlaviyoデプロイメントについて答えるべき6つの具体的な質問です。

• Onsiteは同意を待つか？ 厳格なトラッキング保護を有効にしたプライベートウィンドウでストアフロントを開き、バナー承諾前にstatic.klaviyo.comリクエストが発火しないことを確認します。
• Formsは同意を待つか？ マーケティングカテゴリーが承諾される前にポップアップインプレッションイベントが発火しないことを確認します。
• Cookie同意とSMS同意は別か？ Cookieバナーが SMS 同意も収集していないこと、SMSオプトインフォームが独自の明示的チェックボックスを記録することを確認します。
• KlaviyoプロファイルはCMP状態を反映するか？ CMPがKlaviyo APIを介してプロファイルの同意フィールドに同意決定を書き込むことを確認します。
• オーディエンス同期は取り消しを尊重するか？ 同意を取り消すと、将来の同期だけでなく、下流の有料メディアオーディエンスからサブスクライバーが削除されることを確認します。
• 同意前の閲覧は匿名に保たれるか？ フロートリガーが、同意前の行動を新たに識別されたプロファイルに遡及的に関連付けないことを確認します。

同意ファーストスタックにおけるKlaviyoの位置

Klaviyoは、Eコマースアトリビューションと直接マーケティング通信の交差点に位置しており、Cookie同意体制（GDPR/ePrivacy、CCPA/CPRA）とマーケティング通信体制（CAN-SPAM、TCPA、メッセージングのためのGDPR第6条/第7条）の両方に触れます。適切なアーキテクチャは、これらを2つの異なる同意面として扱います。両方とも、真実の単一ソースを所有する単一のCMPを通じてルーティングされ、KlaviyoのネイティブCookie同意フィールドはAPI経由で同期されます。これを正しく行うストアは、Klaviyoを商業的に価値あるものにするカート放棄、閲覧放棄、セグメンテーション動作を維持しながら、デフォルトインストールが抱える監査リスクをわずかな割合に減らします。エンジニアリング作業は簡単です。規律は、マーケティングチームがFormsをOnsiteトラッカーと同じルールから免除されたものとして扱わないようにすることです。