En PHP.net en el apartado sesiones tienes vários comentarios sobre los problemas del proceso "garbage" (borrado de tus archivos de sesión) y unos comentarios sobre lo que puede ocurrir en windows.

En principio .. el nivel de sub-directorios que se encuentre el directorio que indicas en session.save_path puede afectar (ahí un parámetro más que le indicas el nº de sub-ramas que se encuentra ..).

Por lo demás .. el proceso de "garbage" se inicia según se define en la directiva:

session.gc_probality

Eso define el porcentaje (depende de la únidad que defina la otra directiva relacionada con el tema: www.php.net/session para más info) en que se ejecuta session_start() (equivalenet a "accesos a tus páginas") para que se inicie dicho proceso de "borrado" físico de esos archivos.

Si por A o B mótivo .. tu servidor o S.O. no es capaz de iniciar ese proceso .. Create una "taréa programada" en Windows y ejecuta un comando DOS tipo "DELETE *.*" a ese directorio a los intervalos que definas (esto te dará problemas si borras sesiones que estén activas ..)

Pero .. fuera de que PHP por configuración o "coincidencias" (ejemplo: no hay suficientes ejecuciones de session_start() para que se inicie el proceso de "garbage") .. si piensas que un "hacker" va a entrar a tu servidor a un directorio fuera de tu "Document_root" para ver unos datos de una sesión .. creo que en ese momento ya se te estará "robando" hasta tus .php y base de datos enteras creo yo ... La preocupación es sana ante problemas de seguridad pero todo en su justa medida.