reCAPTCHA の使用中に発生する可能性のある一般的な問題や質問について学びます。
実装
reCAPTCHA はグローバルに使用できますか?
はい。ユーザーが www.google.com にアクセスできない場合は、フロントエンド コードで www.recaptcha.net を使用できます。
- まず、
<script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script>を<script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script>に置き換えて、<SITE_KEY>の代わりにサイトキーを使用します。 - その後、サイト上で他のすべての
www.google.com/recaptcha/を使用する場所に同じ方法を適用します。
reCAPTCHA は Cookie を使用しますか?
reCAPTCHA は、リスク分析を行うために実行された際に、必要な Cookie(_GRECAPTCHA)を設定します。他の Cookie が設定されている可能性がある www.google.com ドメインを使用することを回避する場合は、代わりに www.recaptcha.net を使用できます。
reCAPTCHA バッジを非表示にしたいのですが、どうすればよいですか?
reCAPTCHA を使用してサイトを保護していることを明示しているのであれば、バッジを非表示にできます。次のテキストを含めてください。
This site is protected by reCAPTCHA.
次に例を示します。
reCAPTCHA のデータ処理について説明します。
reCAPTCHA のウィジェットかバッジをカスタマイズできますか?
はい。reCAPTCHA にはライトモードとダークモードがあります。テーマを選択するには、ウィジェットまたはバッジをレンダリングするときに、data-theme 属性または theme パラメータを設定します。
ライトモード:
ダークモード:
ウェブサイトで Content-Security-Policy(CSP)を使用しています。reCAPTCHA と連携するように構成するにはどうすればよいですか?
CSP3 で説明されているアプローチを使用することをおすすめします。reCAPTCHA の enterprise.js スクリプトタグに 1 回だけ使用できる番号を含めてください。残りの処理は Google が行います。
または、次の値をディレクティブに追加します。
- script-src https://www.google.com/recaptcha/, https://www.gstatic.com/recaptcha/
- frame-src https://www.google.com/recaptcha/, https://recaptcha.google.com/recaptcha/
- connect-src https://www.google.com/recaptcha/
Google Cloud コンソールの「ドメインの確認」リストに追加できるドメイン数はどのくらいですか?
キーあたりのドメイン数の上限は 250 です。
250 を超えるドメインでキーを使用するには、ウェブサイトのキーを作成するをご覧ください。
reCAPTCHA のクラウド API を正式にサポートせず、以前の reCAPTCHA API siteverify のみをサポートしているサードパーティのプラグイン実装を使用しています。reCAPTCHA を引き続き使用できますか?
はい。以前の秘密鍵は Google Cloud コンソールで確認できます。以前の秘密鍵を見つける方法については、以前の reCAPTCHA 秘密鍵を見つけるをご覧ください。
サイトのデバッグ時に reCAPTCHA コードを使用しないようにするにはどうすればよいですか?
サイト上の他の JavaScript のデバッグ中に reCAPTCHA コードにステップインしないようにするには、ブラウザの無視リストに reCAPTCHA スクリプト /recaptcha__.+\.js$ を追加します。Chrome の手順については、スクリプトのカスタムリストを無視するをご覧ください。他のブラウザでも同様の機能を利用できます。
iOS 10 でのみ、ユーザーがチャレンジを完了するとページが一番下までスクロールするのはなぜですか?
これは、Apple に報告済みのフォーカス バグです。この問題は、iOS 10 の一部のサイトでのみ発生します。影響を受ける場合は、reCAPTCHA ウィジェットをページの上部または下部に移動することで回避できます。
用途
reCAPTCHA の使用にはレート制限がありますか?
はい。割り当てと上限をご覧ください。
reCAPTCHA ダッシュボードでは、どのタイムゾーンが使用されますか?これは変更できますか?
このタイムゾーンは、ブラウザのクライアント タイムゾーンに基づきます。現時点では変更できません。
reCAPTCHA から返されるスコアの品質を測定するにはどうすればよいですか?
最終的には、ユースケースと必要な結果に応じて手法は異なります。通常は、ユーザーの行動に関する独自の内部指標を使用して、次のような観点から、スコアが正確であったかどうかを判断することをおすすめします。
- パスワードを再設定して高スコアを付けられたユーザーが、後でアカウントがハイジャックされたと報告したか?
- 低スコアでログインしたユーザーが他のユーザーにスパムを送信するようになったか?
- ログインに失敗して低スコアを付けられたユーザーが、複数の異なるユーザー名でのログインを試行するようになったか?
ウェブサイトのトラフィックに関する詳細を確認するにはどうすればよいですか?
詳細は、Google Cloud コンソールの [reCAPTCHA] ページで確認できます。
reCAPTCHA で自動テストを実行したい場合に、必要な対策はありますか?
テスト用の reCAPTCHA サイトキーを作成するには、Google Cloud CLI を使用します。詳しくは、recaptcha keys create reference ページの --testing-challenge オプションと --testing-score オプションをご覧ください。
例
- 常に「キャプチャなし」(チャレンジなし)と「1.0」を返すチェックボックスのサイトキーを作成する(下記の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
- 常に解決できないチャレンジを返すチェックボックス サイトキーを作成する(下記の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
- 設定したスコアを常に返すスコアベースのサイトキーを作成する(下記の--domains、--display-name、--testing-score を変更してください)。
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score
reCAPTCHA REST API と通信する必要があります。レスポンス フォーマットは将来変更されないものと想定できますか?
Google のサービスが進化するにつれ、API への新しいフィールドの追加などの、互換性を損なわない変更が適用される可能性があります。JSON を使用する場合は、API の今後の追加機能との互換性を維持するために、レスポンスの形式を厳密に検証しないでください。
従来の reCAPTCHA キーを作成する方法を教えてください。
新しいクラシック キーを作成することはできません。既存のクラシック キーがある場合は、reCAPTCHA Classic から移行することをおすすめします。すべての Google Cloud reCAPTCHA のお客様は、毎月 10,000 件の評価を無料で作成できます。使用量と料金の詳細については、reCAPTCHA の料金をご覧ください。
データ処理
reCAPTCHA のデータ処理について
2026 年 4 月 2 日以降、reCAPTCHA バッジとお客様のウェブサイトから Google のプライバシー ポリシーと利用規約への参照が削除されることによる影響と推奨事項について教えてください。
2026 年 4 月 2 日より、顧客データのデータ管理者としての顧客の役割と、データ処理者としての Google の役割を反映するため、Google のプライバシー ポリシーと利用規約への言及が reCAPTCHA バッジから削除されます。これらのリンクは他の Google サービスでは引き続き有効ですが、正確な情報を表示するため、お客様ご自身のウェブサイトからこれらの参照を削除することをおすすめします。必要に応じて、引き続き reCAPTCHA バッジを非表示にできます。
お客様はデータ コントローラとしての役割を担いますか?
reCAPTCHA のお客様は、エンドユーザーのデータに関して常にデータ管理者です。しかし、Google は reCAPTCHA の提供に関して独立したデータ管理者として機能しているという立場を維持していました。データ処理者の役割に切り替えることで、Google はお客様のデータの処理の目的と手段を決定する権限を放棄します。そのため、reCAPTCHA のお客様は Google のプライバシー ポリシーと利用規約への言及を削除する必要があります。2026 年 4 月 2 日以降、reCAPTCHA のお客様は顧客データの唯一のデータ管理者となり、Google は Google Cloud 利用規約と Cloud のデータ処理に関する追加条項に従ってのみ、お客様の reCAPTCHA 顧客データを処理します。
Cookie(_grecaptcha)の詳細で Google のデータ プライバシー ポリシーにリンクしています。この Cookie はデータ処理者の変更の影響を受けますか?
reCAPTCHA Cookie(_grecaptcha)は残ります。この Cookie には影響はありません。
Google がデータ処理者の役割に切り替わることで、reCAPTCHA のお客様の現在の reCAPTCHA 実装や Google との契約に影響はありますか?
お客様の reCAPTCHA 実装や、Google に関連する契約上の立場に影響はありません。ただし、お客様には、reCAPTCHA が行う処理の目的(セキュリティ、不正行為、不正使用の防止)がプライバシー開示の対象となっていることを確認するため、エンドユーザー向けのプライバシー開示を見直すことをおすすめします。reCAPTCHA サービス固有の規約は、reCAPTCHA がデータ処理者に移行したことに伴い更新されましたが、この更新は主に、Google のプライバシー ポリシーと Google の利用規約をエンドユーザーに表示する義務など、お客様の義務を削除する形で行われています。
データ処理者として、reCAPTCHA によって処理されるお客様のデータにはどのような処理制限が適用されますか?
Google は、本サービスの提供と維持、および進化を続ける脅威に対する本サービスのセキュリティ、脅威の検出、保護、および対応の能力の有効性を確保し続けるために必要な場合に限り、reCAPTCHA を使用して取得したお客様データを処理します。この目的の制限は、現在の reCAPTCHA サービス固有の規約にすでに記載されており、Cloud のデータ処理に関する追加条項におけるデータ処理者としての Google の義務にも基づいています。
どのセッション データが reCAPTCHA によって収集され、Google はどのように保護しますか?
reCAPTCHA によって収集されたデータと、Google がデータを保護するために講じる対策については、Cloud のデータ処理に関する追加条項と reCAPTCHA サービス固有の規約をご覧ください。
Google がデータを保護する方法について詳しくは、セキュリティのホワイト ペーパーをご覧ください。
reCAPTCHA は GDPR に準拠していますか?
はい。Google は Google Cloudにおいて、お客様の個人データのセキュリティとプライバシーを優先順位付けして改善するイニシアチブを支持しており、reCAPTCHA のお客様は、GDPR の要件に照らして Google のサービスを安心して使用できるよう努めていますGoogle は、reCAPTCHA を含むすべての Google Cloud サービスでのお客様の個人データの処理に関して、GDPR を遵守するために Cloud のデータ処理に関する追加条項を遵守しています。
reCAPTCHA 固有の追加利用規約については、reCAPTCHA サービス固有の規約をご覧ください。
支払いトランザクション情報は reCAPTCHA によって収集されますか?
支払いトランザクション ページに reCAPTCHA をインストールすると、自動化された攻撃から保護するために特定のトランザクション シグナルが検査されます。たとえば、同じ価格で 1 秒間に何度も購入を試みるといった行為は、場合によっては攻撃である可能性があります。
ただし、bot は不正行為全体の問題点のほんの一部にすぎません。より包括的に保護するために、reCAPTCHA Fraud Prevention と統合すると、より詳細なトランザクション情報を送信することで、カードテストや決済手段不正利用などの不正行為に対する審査を受けることができます。