reCAPTCHA の使用中に発生する可能性のある一般的な問題や質問について学びます。
実装
reCAPTCHA はグローバルに使用できますか?
はい。ユーザーが www.google.com にアクセスできない場合は、フロントエンド コードで www.recaptcha.net を使用できます。
- まず、
<script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script>を<script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script>に置き換えて、<SITE_KEY>の代わりにサイトキーを使用します。 - その後、サイト上で他のすべての
www.google.com/recaptcha/を使用する場所に同じ方法を適用します。
reCAPTCHA は Cookie を使用しますか?
reCAPTCHA は、リスク分析を行うために実行された際に、必要な Cookie(_GRECAPTCHA)を設定します。他の Cookie が設定されている可能性がある www.google.com ドメインを使用することを回避する場合は、代わりに www.recaptcha.net を使用できます。
reCAPTCHA バッジを非表示にしたいのですが、どうすればよいですか?
reCAPTCHA を使用してサイトを保護していることを明示しているのであれば、バッジを非表示にできます。次のテキストを含めてください。
This site is protected by reCAPTCHA.
次に例を示します。
reCAPTCHA のデータ処理について説明します。
ネイティブ モバイルで reCAPTCHA バッジまたはウィジェットを表示する必要がありますか?
いいえ。reCAPTCHA Mobile SDK はバックグラウンドで非表示で実行され、ネイティブ モバイルアプリにバッジやウィジェットは表示されません。バッジを非表示にしたり、構成したりする必要はありません。
モバイルアプリが reCAPTCHA で保護されていることをユーザーに通知する場合は、アプリの概要画面、ユーザーフロー、フッターなどにテキストによる開示情報を表示できます。次に例を示します。
This app is protected by reCAPTCHA.
reCAPTCHA のウィジェットかバッジをカスタマイズできますか?
はい。reCAPTCHA にはライトモードとダークモードがあります。テーマを選択するには、ウィジェットまたはバッジのレンダリング時に data-theme 属性または theme パラメータ を設定します。
ライトモード:
ダークモード:
ウェブサイトでコンテンツ セキュリティ ポリシー(CSP)を使用しています。reCAPTCHA と連携するように構成するにはどうすればよいですか?
CSP3 で説明されている方法を使用することをおすすめします。
reCAPTCHA enterprise.js スクリプトタグに 1 回だけ使用できる 番号を含めてください。残りの処理は Google が行います。
または、次の値をディレクティブに追加します。
- script-src https://www.google.com/recaptcha/, https://www.gstatic.com/recaptcha/
- frame-src https://www.google.com/recaptcha/, https://recaptcha.google.com/recaptcha/
- connect-src https://www.google.com/recaptcha/
コンソールの「ドメインの確認」リストに追加できるドメイン数はどのくらいですか? Google Cloud
キーあたりのドメイン数の上限は 250 です。
250 を超えるドメインでキーを使用するには、ウェブサイトのキーを作成するをご覧ください。
reCAPTCHA の Cloud API を正式にサポートせず、以前の reCAPTCHA API siteverify のみをサポートしているサードパーティのプラグイン実装を使用しています。reCAPTCHA を引き続き使用できますか?
はい。以前の秘密鍵はコンソールで確認できます。 Google Cloud 以前の秘密鍵を見つける方法については、以前の reCAPTCHA 秘密鍵を見つけるをご覧ください。
サイトのデバッグ時に reCAPTCHA コードを使用しないようにするにはどうすればよいですか?
サイト上の他の JavaScript のデバッグ中に reCAPTCHA コードにステップインしないようにするには、ブラウザの無視リストに reCAPTCHA スクリプト /recaptcha__.+\.js$ を追加します。Chrome の手順については、スクリプトのカスタムリストを無視するをご覧ください。他のブラウザでも同様の機能を利用できます。
iOS 10 でのみ、ユーザーがチャレンジを完了するとページが下部にスクロールするのはなぜですか?
これは、Google が Apple に報告したフォーカス バグです。 iOS 10 の一部のサイトでのみユーザーに影響します。影響を受ける場合は、reCAPTCHA ウィジェットをページの上部または下部に移動してください。
用途
reCAPTCHA の使用にはレート制限がありますか?
はい。割り当てと上限をご覧ください。
reCAPTCHA ダッシュボードでは、どのタイムゾーンが使用されますか?これは変更できますか?
このタイムゾーンは、ブラウザのクライアント タイムゾーンに基づきます。現時点では変更できません。
reCAPTCHA から返されるスコアの品質を測定するにはどうすればよいですか?
最終的には、ユースケースと必要な結果に応じて手法は異なります。通常は、ユーザーの行動に関する独自の内部指標を使用して、次のような観点から、スコアが正確であったかどうかを判断することをおすすめします。
- パスワードを再設定してハイスコアを付けられたユーザーが、後でアカウントがハイジャックされたと報告したか?
- 低スコアでログインしたユーザーが他のユーザーにスパムを送信するようになったか?
- ログインに失敗して低スコアを付けられたユーザーが、複数の異なるユーザー名でのログインを試行するようになったか?
ウェブサイトのトラフィックの詳細を確認するにはどうすればよいですか?
reCAPTCHA
reCAPTCHA で自動テストを実行したい場合に、必要な対策はありますか?
テスト用の reCAPTCHA サイトキーを作成するには、Google Cloud CLI を使用します。詳しくは、recaptcha keys create reference ページの --testing-challenge オプションと --testing-score オプションをご覧ください。
例
- 常に「キャプチャなし」(チャレンジなし)と「1.0」を返すチェックボックスのサイトキーを作成する(下記の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
- 常に解決できないチャレンジを返すチェックボックス サイトキーを作成する(下記の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
- 設定したスコアを常に返すスコアベースのサイトキーを作成する(下記の--domains、--display-name、--testing-score を変更してください)。
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score
reCAPTCHA REST API と通信する必要があります。レスポンス フォーマットは将来変更されないものと想定できますか?
Google のサービスが進化するにつれ、API への新しいフィールドの追加などの、互換性を損なわない変更が適用される可能性があります。JSON を使用する場合は、API の今後の追加機能との互換性を維持するために、レスポンスの形式を厳密に検証しないでください。
従来の reCAPTCHA キーを作成する方法を教えてください。
新しいクラシック キーを作成することはできなくなりました。既存のクラシック キーがある場合は、reCAPTCHA Classic から移行することをおすすめします。すべての Google Cloud reCAPTCHA のお客様は、毎月 10,000 件の評価を無料で作成できます。使用量と料金の詳細については、reCAPTCHA の料金をご覧ください。
データ処理
reCAPTCHA のデータ処理について説明します
2026 年 4 月 2 日以降、reCAPTCHA バッジとお客様のウェブサイトから Google のプライバシー ポリシーと利用規約へのリンクが削除されることによる影響と推奨事項は何ですか?
2026 年 4 月 2 日より、お客様のデータを管理するお客様の役割と、お客様のデータを処理する Google の役割を反映するため、reCAPTCHA バッジから Google のプライバシー ポリシーと利用規約へのリンクが削除されます。これらのリンクは他の Google サービスでは引き続き有効ですが、正確な表現のため、お客様のウェブサイトからこれらのリンクを削除することをおすすめします。必要に応じて、reCAPTCHA バッジを引き続き非表示にすることもできます。
お客様はデータ管理者としての役割を担いますか?
reCAPTCHA のお客様は、エンドユーザーのデータに関して常にデータ管理者でした。ただし、Google は reCAPTCHA の提供に関して独立したデータ管理者として機能しているという立場を維持していました。データ処理者の役割に切り替えることで、Google はお客様のデータの処理の目的と手段を決定する能力を放棄します。そのため、reCAPTCHA のお客様は Google のプライバシー ポリシーと利用規約へのリンクを削除する必要があります。2026 年 4 月 2 日より、reCAPTCHA のお客様は、お客様のデータの唯一のデータ管理者となり、Google は Google Cloud 利用規約と Cloud のデータ処理に関する追加条項に従ってのみ、reCAPTCHA のお客様のデータを処理します。
Cookie(_grecaptcha)の詳細で Google のデータ プライバシー ポリシーにリンクしています。この Cookie はデータ処理者への変更の影響を受けますか?
reCAPTCHA Cookie(_grecaptcha)は引き続き使用でき、この Cookie に影響はありません。
Google がデータ処理者の役割に切り替えることで、reCAPTCHA のお客様の現在の reCAPTCHA 実装または Google との契約上の立場に影響はありますか?
Google に関連するお客様の reCAPTCHA 実装または契約上の立場に影響はありません。ただし、お客様はエンドユーザー向けのプライバシー開示情報を確認し、reCAPTCHA が行う処理の目的(セキュリティ、不正行為、不正使用の防止)を網羅していることを確認することをおすすめします。reCAPTCHA がデータ処理者に切り替わる際に reCAPTCHA サービス固有の規約 が更新されましたが、この更新は主に、エンドユーザーに Google のプライバシー ポリシーと Google 利用規約を表示する要件など、お客様の義務を削除する形で行われています。
データ処理者として、reCAPTCHA によって処理されるお客様のデータに適用される処理の制限は何ですか?
Google は、サービスの提供と維持、および進化を続ける脅威に対するサービスのセキュリティ、脅威の検出、保護、および対応の能力の有効性を確保し続けるために必要な場合に限り、reCAPTCHA を使用して収集されたお客様のデータを処理することをお約束します。この目的の制限は、現在の reCAPTCHA サービス固有の規約にすでに記載されており、Cloud のデータ処理に関する追加条項におけるデータ処理者としての義務にさらに基づいています。
どのセッション データが reCAPTCHA によって収集され、Google はどのように保護しますか?
reCAPTCHA によって収集されたデータと、Google がデータを保護するために講じる対策については、Cloud のデータ処理に関する追加条項と reCAPTCHA サービス固有の規約をご覧ください。
Google がデータを保護する方法について詳しくは、セキュリティのホワイト ペーパーをご覧ください。
reCAPTCHA は GDPR に準拠していますか?
はい。 Google Cloudでは、お客様の個人データのセキュリティとプライバシーを優先順位付けして改善するイニシアチブを支持しており、reCAPTCHA のお客様は、GDPR の要件に照らして Google のサービスを安心して使用できるよう努めていますGoogle は、reCAPTCHA を含むすべての サービスでのお客様の個人データの処理に関して、GDPR を遵守するために Cloud のデータ処理に関する追加条項 を遵守しています。 Google Cloud
reCAPTCHA 固有の追加利用規約については、 reCAPTCHA サービス固有の規約をご覧ください。
支払いトランザクション情報は reCAPTCHA によって収集されますか?
支払いトランザクション ページに reCAPTCHA をインストールすると、自動化された攻撃から保護するために特定のトランザクション シグナルが検査されます。たとえば、同じ価格で 1 秒間に何度も購入を試みるといった行為は、場合によっては攻撃である可能性があります。
ただし、bot は不正行為全体の問題点のほんの一部にすぎません。より包括的に保護するために、reCAPTCHA Fraud Prevention と統合すると、より詳細なトランザクション情報を送信することで、カードテストや決済手段不正利用などの不正行為に対する審査を受けることができます。