セッションリプレイが特に危険な理由

ほとんどの追跡技術は集計された粗い信号を取得します。セッションリプレイは、入力値、カーソルの動き、スクロールの進行状況、ページレベルのDOM状態を含む個々のユーザー行動のほぼ逐語的な再構成を取得します。これにより、いくつかの具体的な観点で法的リスクが高まります。

米国州法による通信傍受法

米国のいくつかの州——特にカリフォルニア、フロリダ、ペンシルベニア、マサチューセッツ、イリノイ——には、原告側法律事務所がセッションリプレイに積極的に適用してきた双方同意の通信傍受法があります。その理論：サイトが肯定的な同意なしに訪問者のインタラクションセッションを記録し、サードパーティのベンダーがその録音を処理する場合、ベンダーはユーザーとパブリッシャー間の通信を傍受したことになります。California Invasion of Privacy Act（CIPA）は、2024年と2025年に原告側にとって最も有効な法律であり、大きな標的では低6桁から数千万ドルにわたる和解が行われています。

GDPRとePrivacy

欧州の法律の下では、セッションリプレイはほぼ常にオプトイン同意が必要な処理活動です。録画には定期的に個人データが含まれます：IPアドレス、入力されたテキスト、健康上または財務上の懸念を明らかにする可能性のあるカーソルパス、そしてファーストパーティアカウント識別子に結合するメタデータ。UK ICO、イタリアのGarante、フランスのCNILはすべて、セッションリプレイには事前のオプトイン同意が必要というガイダンスを発行しており、ノルウェーのDatatilsynetは2023年に、同意メカニズムなしでHotjarを実行していたとして大手パブリッシャーに罰金を科しました。

機密データの漏洩

セッションリプレイツールは、デフォルトで、ユーザーが入力またはインタラクションするすべてのもの——パスワード、クレジットカード番号、社会保障番号、医療情報、コピー＆ペーストされた機密コンテンツを含む——を取得します。ベンダーは編集機能を提供していますが、それらの機能はデフォルトでオフになっているか、明示的なオプトイン設定が必要です。設定の間違ったリプレイ統合は、PHIまたはPCIデータをサードパーティのプロセッサに無音で送信し、HIPAA、PCI DSS、GDPRの特別カテゴリ違反を同時に引き起こす可能性があります。

実際に必要な同意アーキテクチャ

2026年の防御可能なセッションリプレイ展開には3つの積み重ねられたコントロールがあります：事前同意、プライバシーを保護する録画設定、下流のデータ最小化。

レイヤー1——録画前の事前同意

EU、UK、EEAのトラフィックについては、リプレイベンダーは肯定的な同意の前に初期化されてはなりません。つまり、初期化スクリプトはCMPゲート付きスロット内にロードされ、目的の内訳に応じてIAB TCF目的8（コンテンツのパフォーマンス測定）または目的10（製品の開発と改善）などの目的に関連付けられる必要があります。双方同意州の米国トラフィックについては、同じゲーティングロジックが適用されます——スクリプトは、ユーザーが肯定的に同意した場合にのみ初期化されるべきで、理想的には同じCMPフローを通じて、ページがUX分析のためにセッションを記録するという明示的な開示とともに行われます。

レイヤー2——デフォルトでキャプチャではなく抑制

すべての最新のセッションリプレイベンダーはDOMレベルの抑制をサポートしています。望ましいアプローチはデフォルト拒否、アノテーションによる許可——明示的に安全とマークしていない限り、すべてのテキスト入力とすべての要素をマスクすることです。具体的な属性名はベンダーによって異なります（Hotjarの場合はdata-hj-suppress、Clarityの場合はdata-clarity-mask、FullStoryの場合はdata-fs-privacy="mask"）が、パターンは同じです。フォームフィールド、アカウントエリア、支払いUI、そして機密データが表示される可能性のある場所はすべてカバーする必要があります。

レイヤー3——IP匿名化と保持

すべての主要なリプレイベンダーは、IP匿名化、設定可能な保持ウィンドウ、地理的なデータ居住オプションをサポートしています。保持をUXワークフローをサポートする最短期間（通常30〜90日）に設定し、ベンダーがサポートしている場合はIP匿名化をオンにします。EUトラフィックについては、提供されている場合はEUデータ居住オプションを選択します。

ベンダー固有の設定

リプレイプラットフォームによってデフォルトの姿勢は異なります。以下は2026年の展開で最も一般的なもので、コンプライアンスの状況を大きく変える設定です。

Hotjar

Hotjarは、ほとんどの統合でデフォルトではテキスト抑制が無効になっています。サイト全体のテキストコンテンツの抑制設定を有効にし、data-hj-allow属性を使用してキャプチャしたい特定の要素をホワイトリストに登録します。サイト設定でIP匿名化をオンにします。同意モードを有効にしてCMPに接続し、分析への明示的な同意後にのみ録画が開始されるようにします。HotjarはGoogle Consent Mode v2統合をネイティブでサポートしています。

Microsoft Clarity

Clarityは無料であるため、多くの小規模パブリッシャーは適切なコンプライアンスレビューなしに使用します。デフォルトでは、Clarityはパスワードとクレジットカードに似たフィールドをマスクしますが、それ以外はあまりマスクしません。すべての個人データフィールドにdata-clarity-maskを設定します。可能な場合はプロジェクト設定ですべてのテキストをマスクを有効にします。ClarityのEUデータ居住オプションはClarityプロジェクト設定にあります——EUトラフィックを提供している場合はオンにします。clarity('consent') JavaScript APIを使用して、CMPを通じてリプレイ録画を制御します。

FullStory

FullStoryは主要ベンダーの中で最も詳細なプライバシー設定を持っています。除外要素、除外ページ、要素ブロック、data-fs-privacy="mask"属性を組み合わせて使用します。FullStoryのデフォルトでプライベート設定はEUトラフィックに対して有効にする必要があります。FS.consent() API呼び出しをCMPの同意状態に接続します。

Mouseflow、LogRocket、Smartlook

小規模ベンダーは一般的に異なる名称で同様のコントロールを提供しています。一貫したパターン：デフォルトのキャプチャを無効にし、必要なものをホワイトリストに登録し、IP匿名化をオンにし、保持を設定し、同意前にSDKを初期化しないことです。どのベンダーもデフォルトでコンプライアントであると仮定しないでください——それらはプライバシーチームではなく、プロダクトチーム向けに構築されています。

Google Consent Modeの問題について

Google Consent Mode v2は間接的にセッションリプレイにマッピングされます。最も近い信号はanalytics_storageと、リプレイが広告最適化に使用される場合はad_user_dataです。analytics_storageが拒否された場合、リプレイ録画は抑制されるか、少なくともベンダーが提供している場合は統計的にサンプリングされた集計モードに削減されるべきです。ほとんどのセッションリプレイベンダーはまだ完全なConsent Mode v2統合を構築していないため、正しく接続されたCMPがまだほとんどの作業を行っています。

集団訴訟を引き起こす一般的な失敗

• バナーが表示される前にリプレイが実行される——スクリプトはページロード時に起動し、最初の数秒をキャプチャし、CMPが解決されるまで停止しません。これが最も一般的な単一の違反であり、CIPA原告はこれを中心に数十件の訴訟を構築しています
• デフォルトのテキストキャプチャがオン——リプレイはフォームフィールドの値、検索クエリ、チャットメッセージを未編集で返します
• 認証済みユーザーへの同意がない——ユーザーがログインし、ユーザーが分析の同意を確認したことがないにもかかわらず、リプレイが無音で継続されます
• プライバシーポリシーに開示がない——リプレイベンダーが名指しされておらず、処理の目的が説明されておらず、オプトアウトパスが文書化されていません
• GPCが無視されている——Global Privacy Control信号はオプトアウト州の米国居住者に対してリプレイを抑制するべきですが、ほとんどのデフォルト統合はこれを尊重していません
• 保持が文書化された目的を超えている——UXチームが30日しか必要としないのに、ベンダーのデフォルト12ヶ月が維持され、利益なしに違反リスクが広がります

機密性の高い業種への考慮事項

一部の業界では、設定によって完全に軽減できないセッションリプレイに関するカテゴリ的なリスクに直面しています。

医療

HIPAAの下では、保護された健康情報を表示する可能性のある任意のページでセッションリプレイを実行するには、ベンダーとの事業提携契約、ユーザーからの明示的な承認、および厳密なデータ最小化が必要です。ほとんどのパブリッシャーは、このカテゴリを標準的なセッションリプレイから完全に除外される範囲外として扱っています。

金融

銀行、保険会社、フィンテックプラットフォームは、決済ページでのPCI DSS露出と消費者金融追跡に対するFTCの注目の増加の両方に直面しています。セッションリプレイは認証済みの送金ページから除外する必要があります。

子供向けコンテンツ

COPPAは13歳未満のユーザーの追跡に対して検証可能な親の同意を必要とします。その同意なしで子供向けサイトでのセッションリプレイはカテゴリ的なCOPPA違反です。

2026年の監査チェックリスト

• リプレイSDKは肯定的同意のCMP信号の背後でゲートされており、同意が記録されるまで初期化が延期されます
• テキストマスキングはグローバルに有効で、ホワイトリスト要素のみ
• フォーム入力、支払いフィールド、認証済みアカウントエリア、チャットウィジェットは完全に除外されています
• IP匿名化がベンダーレベルで有効になっています
• 保持はUXニーズをサポートする最短期間に設定されています
• EUデータ居住オプションは、ベンダーがサポートしているEUトラフィックに対して有効になっています
• ベンダーはプライバシーポリシーに法的根拠、目的、保持を明記して記載されています
• データ処理契約が署名・保管されており、該当する場合はSchrems II移転評価も含まれています
• GPCおよび該当する米国州のオプトアウトがリプレイの初期化を抑制します
• 認証済みセッションは匿名セッションと同じ同意ゲーティングを継承します
• 機密性の高い業種のページ（医療、金融、子供向けコンテンツ）はキャプチャから分類的に除外されています

2026年の実用的な姿勢

セッションリプレイはUXチームに、ユーザーが実際にサイトをどのように体験しているかについて非常に明確な視点を提供し、誰もが手放したくないツールです。答えはそれを削除することではありません。答えは、同意、マスキング、保持を最初の日から展開に組み込み、規制当局や原告側の弁護士が後でその使用を隠密傍受として特徴づけられないように設定を文書化することです。コンプライアンス配管なしにセッションリプレイを通常のUXツールとして扱うパブリッシャーは、2026年を通じて集団訴訟パイプラインに供給し続けるでしょう。配管に投資するパブリッシャーは、それに合った防御可能な法的姿勢でツールの利点を維持します。