Zenovayがセッション録画を責任を持って管理する方法を学びましょう。データマスキングからGDPR準拠とストレージセキュリティまでをカバーしています。
プライバシー優先のアプローチ
当社の哲学
Session Replayはプライバシーを念頭に置いて設計されました:
- パスワードはデフォルトでマスクされます
- シンプルなCSSクラスで何をキャプチャするかを制御できます
- GDPRおよびCCPA義務をサポートするように設計されています
- 個人データは売却または共有されません
常にマスクするもの
設定に関わらず、パスワードフィールドは決して記録されません。録画が開始されると、Zenovayは自動的にすべてのパスワード入力フィールド(autocomplete="password"、current-password、またはnew-passwordでタグ付けされたフィールドを含む)をマークし、それらのコンテンツがページから出ることはありません。
データマスキング
デフォルト動作
デフォルトでは、Session Replayはほとんどのフォーム入力を記録し、再生がサポートとデバッグに役立つようにします。パスワードは例外で、常にマスクされます。
| 要素 | デフォルト処理 |
|---|---|
input[type="password"] | 常にマスク |
input[type="email"] | 記録(再生に表示) |
input[type="tel"] | 記録(再生に表示) |
input[type="text"] | 記録(再生に表示) |
.zenovay-mask-replay | マスク |
[data-private] | 記録からブロック |
メールアドレスと電話番号はデフォルトで表示されます。これはサポートセッションを確認するときに有用だからです。それらを非表示にする必要がある場合は、以下のCSSクラスを使用して関連フィールドをマスクまたはブロックしてください。
マスキングの見え方
記録ではマスクされたコンテンツは••••••••として表示されます。ブロックされた要素は記録から完全に削除され、再生時には表示されません。
CSSクラスを使用したマスキングとブロック
Zenovayのレコーダーは3つのCSSフックを読み取ります。適切なクラス(または属性)をサイト上の任意の要素に追加します:
<!-- テキストをマスク(****として表示) -->
<span class="zenovay-mask-replay">個人情報</span>
<!-- 記録から完全にブロック(キャプチャされない) -->
<div class="zenovay-block-replay">
このセクションは記録に表示されません
</div>
<!-- data-private属性も要素をブロック -->
<input type="text" data-private>
| フック | 効果 |
|---|---|
zenovay-mask-replay(クラス) | テキストはマスクされ、••••••••として表示されます |
zenovay-block-replay(クラス) | 要素は記録から完全に削除されます |
data-private(属性) | 要素は記録からブロックされます |
これらのフックはマークアップのどこにでも機能します。入力、フォーム、またはセクション全体で。
記録モード
Session Replayはサイトごとに設定された2つのトリガーモードで実行できます:
| モード | 動作 |
|---|---|
| エラーのみ(デフォルト) | セッションはバックグラウンドで記録され、訪問者がJavaScriptエラーをトリガーしたときのみ保存されるため、重要な記録を保持できます |
| すべてのセッション | すべてのセッションが記録されます(高トラフィックサイトでは自動的にサンプリングされ、ボリュームを管理可能に保ちます) |
モードを変更するには、サイトのダッシュボードを開き、設定→詳細に移動し、Session Replayを有効にして、記録モードを選択します。有効にするまで記録はオフのままです。
すべてのセッションを記録するとより多くのデータがキャプチャされます。「すべてのセッション」に切り替える前に、マスキングと除外が構成され、プライバシーポリシーがセッション記録をカバーしていることを確認してください。
記録のブロック
ページ全体をブロック
特定のURLパスで記録を停止できます。サイトのダッシュボードで、設定→除外に移動し、URLパスを除外の下に除外するパスを追加します。例えば:
/admin/*/account/settings/checkout/payment
除外されたパス上のセッションはスキップされ、決して保存されません。
要素をブロック
特定の要素を記録から削除するには、zenovay-block-replayクラスまたはdata-private属性を追加します:
<!-- この要素をまったく記録しない -->
<div class="zenovay-block-replay">
このセクションは記録に表示されません
</div>
<!-- data-private属性で同じ効果 -->
<div data-private>
ここに機密コンテンツ
</div>
ユーザーの同意
同意の要件
お客様の管轄によって異なります:
| 地域 | 要件 |
|---|---|
| EU(GDPR) | 明示的な同意がしばしば必要 |
| カリフォルニア(CCPA) | オプトアウトが利用可能である必要があります |
| その他 | 法律により異なります |
同意撤回時のトラッキング一時停止
録画はWebサイト設定(設定→詳細)から有効になります。JavaScript APIからではなく。訪問者が同意を撤回したときにすべてのトラッキング(記録を含む)を停止するには、トラッカーのコマンドキューを使用します:
// 同意が撤回された場合、トラッキングを無効化
if (!userConsented) {
zenovay('disable');
}
// 同意が与えられたとき、トラッキングを再度有効化
if (userConsented) {
zenovay('enable');
}
同意統合
OneTrust、Cookiebot、CookieYesなどのコールバックをトリガーできる任意の同意マネージャー、またはカスタム実装と連携します。
サンプル同意フロー
// 同意シグナルを待つ
window.addEventListener('consent-given', function() {
zenovay('enable');
});
window.addEventListener('consent-withdrawn', function() {
zenovay('disable');
});
データ保存
データはどこに保存されるか
セッションデータは:
- 保存時に暗号化されます
- Cloudflareのグローバルエッジインフラストラクチャでホストされます
- EU(フランクフルト)のデータベースを主要地域として保存されます
保持期間
| プラン | 保持期間 |
|---|---|
| Pro | 60日 |
| Scale | 120日 |
| Enterprise | 180日 |
保持期間後
保持期間が満了したとき:
- 記録は自動的に削除されます
- 回復することはできません
データセキュリティ
暗号化
すべてのセッションデータは:
- 転送中に暗号化されます(TLS)
- 保存時に暗号化されます
アクセス制御
記録はお客様のワークスペースのメンバーのみに表示され、役割によって制限されます。誰が何にアクセスしたかの監査ログはScaleプランで利用可能です。
セキュリティ&コンプライアンスの体勢
Zenovayはグローバル・プライバシー・フレームワーク(GDPR)対応に設計されており、認定プロバイダーのインフラストラクチャで実行されます:
- Cloudflare(SOC 2 Type II、ISO 27001、ISO 27018)
- Supabase(SOC 2 Type II)
- Stripeはすべての支払いデータを処理します(PCI DSS Level 1)
国際データ転送については、ZenovayはEU-UKデータプライバシーフレームワークおよび標準契約条項に依存します。
GDPR準拠
法的根拠
GDPRに基づくセッション記録の場合:
| 根拠 | 注記 |
|---|---|
| 同意 | ユーザーの明示的な同意 |
| 正当な利益 | 適切な評価を伴う |
データ主体の権利
ユーザーは以下をリクエストできます:
- 彼らの記録へのアクセス
- 彼らの記録の削除
- 彼らのデータのエクスポート
権利の実装
リクエストを受け取ったとき:
- ユーザーがリクエストを送信します
- ダッシュボードで関連するセッションを見つけます
- エクスポートまたは削除します
- 完了を確認します
記録の削除
特定の記録を削除するには、サイトのセッションビューを開き、セッションを見つけて削除します。記録とその保存されたイベントは永久に削除され、回復できません。
より広いアカウントレベルの削除リクエストについては、GDPR準拠の詳細を参照してください。
ユーザー制御
オプトアウトオプション
トラッカーのdisableコマンドを使用して、訪問者がトラッキングをオフにする方法を提供できます:
<!-- ユーザーに表示されるオプトアウト -->
<button onclick="zenovay('disable')">
私のアクティビティを追跡しないでください
</button>
Do Not Trackを尊重
Zenovayはデフォルトで Do Not Track(DNT)および Global Privacy Control(GPC)シグナルを尊重します。追加の属性は不要です。この動作をオーバーライドする必要がある場合のみ、トラッキングスクリプトにdata-ignore-dnt="true"を追加してください。
第三者コンテンツ
Iframes
第三者のiframes:
- オリジン間で記録されません(クロスオリジンiframe記録はセキュリティ上の理由で無効になっています)
- 再生時にプレースホルダーを表示する可能性があります
サードパーティスクリプト
他のドメインから読み込まれたコンテンツ:
- 再生時に異なる方法でレンダリングされる可能性があります
- フォントフォールバックが可能です
- 外部画像が読み込まれない可能性があります
機密業界
ヘルスケア
Zenovayはヒップストレッチ認証済みではなく、ビジネスアソシエイト契約に署名していないことに注意してください。ヘルスケア業界で運営している場合:
- すべてのPHIフィールドとセクションをマスクまたはブロックしてください
- セッション記録をPHIの対象範囲外として扱うか、それらを含むページで記録を有効にしないでください
金融サービス
財務データについて:
- すべての金融フィールドをマスクしてください
- パス除外を使用して支払いページをブロックしてください
- 監査ログ(Scale)を使用して記録へのアクセスを追跡してください
法的考慮事項
法務チームに相談してください:
- 業界の要件
- 地域の法律
- 顧客契約
監査とコンプライアンス
監査ログ
Scale プランワークスペースの監査ログは管理者アクションを追跡します。以下を含む:
- ビューアのアイデンティティ
- タイムスタンプ
- 実行されたアクション
ベストプラクティス
プライバシーチェックリスト
記録を有効にする前に:
- プライバシー通知がセッション記録を記述するように更新されています
- 同意メカニズムが実装されています(必要な場合)
- 機密フィールドがマスクまたはブロックされています
- 除外パスが構成されています
- チームがプライバシー責任を認識しています
定期的なレビュー
定期的に確認してください:
- マスキング設定
- サイトに追加された新しい機密フィールド
- 同意準拠
- 記録モードと除外
ドキュメンテーション
以下の記録を保管してください:
- 何を記録するか
- 法的根拠
- 保持期間
- 誰が記録にアクセスできるか
設定サマリー
サイトのダッシュボードでこれらを設定します:
- 設定→詳細:Session Replayを有効にし、記録モードを設定します(エラーのみ/すべてのセッション)
- 設定→除外:除外するURLパスを追加します。例えば
/admin/*
要素レベルの制御については、HTMLにCSSフックを追加します:
<div class="zenovay-mask-replay">マスクされたコンテンツ</div>
<form id="payment-form" class="zenovay-block-replay">記録からブロック</form>
Do Not TrackとGlobal Privacy Controlはデフォルトで尊重されます。この動作をオーバーライドするにはdata-ignore-dnt="true"をトラッキングスクリプトに追加してください。