compliance-os
作成者 alirezarezvanicompliance-os は、Compliance Review 向けに複数フレームワークのコンプライアンス対応を統合管理するスキルです。フレームワークの適用可否評価、コントロールの重複関係のマッピング、再利用可能な証跡の優先順位付け、JSON テンプレートと Python ヘルパースクリプトを使った社内模擬監査のシミュレーションに活用できます。
このスキルの評価は82/100で、複数フレームワークのコンプライアンス運用を統合的に進めたいディレクトリ利用者にとって、有力な掲載候補です。リポジトリには具体的なワークフロー、スクリプト、テンプレート、参考資料が十分に含まれており、単なる汎用プロンプト以上の支援が期待できます。特に、適用すべきフレームワークの選定、証跡の再利用、監査シミュレーションの領域で有用です。ただし、運用で利用する前に、フレームワークのカバレッジとインストール手順は確認しておくべきです。
- 起動条件が明確です。frontmatter で利用タイミングがはっきり示されており、フレームワーク選定、重複マッピング、監査シミュレーション、証跡統合という4つの具体的な判断に沿ってスキルが構成されています。
- 実運用に役立つ成果物がそろっています。4つの Python ツール、JSON テンプレート、模擬監査シナリオライブラリに加え、監査シミュレーション、証跡再利用、フレームワーク横断の重複に関する参考資料があります。
- フレームワークごとの個別スキルの代替ではなく、オーケストレーション層として明確に位置づけられているため、複数フレームワークを扱うコンプライアンスチームにとって導入判断の材料になります。
- SKILL.md にインストールコマンドが記載されていないため、ディレクトリ利用者はリポジトリ全体の慣例から導入方法を推測する必要があるかもしれません。
- 補足資料にはややばらつきがあります。メインの説明では対応フレームワークを12種類としていますが、control library template と cross-framework overlap reference では9種類が中心になっており、採用判断時に迷いが生じる可能性があります。
compliance-os skillの概要
compliance-osができること
compliance-osは、複数フレームワークにまたがるコンプライアンス対応を整理・判断するためのオーケストレーションskillです。どの規制や標準が適用されるのか、統制がどこで重複するのか、証跡をどう再利用できるのか、模擬内部監査でどのような指摘が出そうかを検討できます。ISO 27001、SOC 2、GDPR、EU AI Act、HIPAA、NIST CSF、NIS2、FDA QSR、医療機器関連標準を別々の作業として扱うのではなく、AIエージェントがひとつのコンプライアンスプログラムとして横断的に考えられるようにします。
複数フレームワークを扱うコンプライアンスチームに向いているケース
compliance-os skillが特に役立つのは、企業が「監査ごとに個別対応する」段階から、統合されたコンプライアンス運用モデルへ移行しようとしている場合です。たとえば、ISO 27001にSOC 2を追加しようとしているSaaSベンダー、ISO 42001やEU AI Actの影響範囲を評価したいAI企業、HIPAA、FDA QSR、ISO 13485、ISO 14971、EU MDRの義務を比較したいヘルスケアまたは医療機器チーム、認証のステージ1に備えるコンプライアンス責任者などに適しています。
一方で、法的助言、最終的な規制判断、または単一フレームワークだけの詳細な実装計画が必要な場合には、あまり向いていません。リポジトリ自体も、compliance-osを各フレームワーク専用skillの代替ではなく、オーケストレーターとして位置づけています。
このskillの違い
compliance-osの主な差別化ポイントは、プロンプト上のガイダンスだけでなく、構造化されたアセットと決定論的なヘルパースクリプトを含んでいることです。主なファイルは次のとおりです。
assets/company_profile_template.json:適用可能性のスクリーニング用assets/control_library_template.json:有効化するフレームワーク選択用assets/mock_audit_library.json:シナリオベースの監査指摘用scripts/framework_selector.pyscripts/cross_framework_mapper.pyscripts/audit_simulator.pyscripts/evidence_pool_generator.py
そのため、「どのフレームワークが当社に適用されますか?」と汎用プロンプトで尋ねるよりも、繰り返し実行するCompliance Reviewワークフローに向いています。
導入前に確認すべきポイント
インストール前に、対象とするフレームワークがカバーされているか、自社が有用な会社プロファイルを提供できるかを確認してください。出力品質は、業界、地域、AI利用状況、医療機器該当性、個人データ処理、ヘルスケア該当性、政府契約、エンタープライズ販売要件などの入力に大きく左右されます。
compliance-os skillの使い方
compliance-osのインストールと最初に読むファイル
互換性のあるClaude skills環境で、次のコマンドを使ってskillをインストールします。
npx skills add alirezarezvani/claude-skills --skill compliance-os
次にソースパスを確認します。
compliance-os/skills/compliance-os
最初に読むべきファイルは次のとおりです。
SKILL.md:想定されているオーケストレーションの流れassets/company_profile_template.json:必要な会社情報references/compliance_os_pattern.md:フレームワークを統合して扱うべき場合と分割すべき場合references/cross_framework_overlap.md:重複に関する前提references/evidence_artifact_reuse_index.md:証跡再利用の優先順位references/audit_simulation_methodology.md:模擬監査の出力を使う前に確認すべき方法論
skillに必要な入力情報
compliance-osを有効に使うには、曖昧な会社説明ではなく、構造化されたプロファイルを提供します。含めるべき情報は次のとおりです。
- 業界とプロダクトカテゴリ
- サービス提供国または地域
- プロダクトにAIが含まれるか
- EU基準でAIが高リスクに該当するか
- プロダクトが医療機器に該当するか
- 個人データ、EU個人データ、またはPHIを処理するか
- エンタープライズB2B、米国顧客、EU顧客、政府系購買者に販売しているか
- 会社のステージとおおよその従業員数
- すでに採用済み、または顧客から要求されている既知のフレームワーク
弱いプロンプトの例:
「必要なコンプライアンスフレームワークを教えてください。」
より良いプロンプトの例:
「compliance-osを使って、従業員140名のSeries B B2B SaaS企業を評価してください。EUおよび米国の顧客があり、エンタープライズ調達からの要求が強く、自動意思決定支援に使われるAI機能があり、EU個人データを処理しています。PHIは扱わず、医療機器としての表示もなく、現在ISO 27001認証を取得しています。適用されるフレームワーク、想定される重複、最初に優先すべき証跡を特定してください。」
おすすめのcompliance-osワークフロー
実務上は、次の流れが使いやすいです。
- Configure:会社プロファイルを使い、適用される可能性が高いフレームワークを特定する。
- Constrain:無関係なフレームワークや、現時点では希望にすぎないフレームワークを除外する。
- Map overlap:
cross_framework_mapper.pyと重複に関するリファレンスを使い、有効化したフレームワークを比較する。 - Prioritize evidence:
evidence_pool_generator.pyと証跡再利用インデックスを使い、効果の高いアーティファクトを見つける。 - Simulate audit:スコープが明確になってから
audit_simulator.pyを使う。スコープ確定前には使わない。 - Translate findings:模擬指摘を、担当者、期限、証跡リクエスト、是正措置に落とし込む。
Compliance Review向けのプロンプトパターン
Compliance Reviewでcompliance-osを使う場合は、判断と成果物を分けて依頼します。
「compliance-os skillを使用してください。第一に、サポートされているフレームワークを、適用対象、適用可能性あり、適用対象外に分類してください。第二に、各分類の前提を説明してください。第三に、適用対象フレームワーク間で重複が大きい統制ファミリーをマッピングしてください。第四に、再利用効果の高い順に統合証跡チェックリストを作成してください。法的助言は行わず、不確実な項目は弁護士または認定監査人による確認事項として示してください。」
この形にすると、過剰な断定を抑えられ、出力もレビューしやすくなります。
compliance-os skillのFAQ
compliance-osは法務ツールや認証ツールですか?
いいえ。compliance-osは計画とオーケストレーションのためのskillです。フレームワークの適用可能性、監査準備、証跡再利用、内部レビューの整理には役立ちますが、弁護士、認定された認証機関、 qualified auditor、またはフレームワーク別の実装作業の代替にはなりません。
通常のプロンプトより何が優れていますか?
通常のプロンプトでは、広いチェックリストが出てくるだけになりがちです。compliance-os skillには、明示的なメタフレームワークパターン、再利用可能なJSONテンプレート、リファレンス文書、フレームワーク選択・重複マッピング・監査シミュレーション・証跡プーリング用のスクリプトがあります。この構造により、エージェントが繰り返しのコンプライアンスレビューでも一貫性を保ちやすくなります。
初心者でもcompliance-os skillを使えますか?
はい。ただし初心者は、まず会社プロファイルテンプレートから始め、1回の依頼で完全なコンプライアンスプログラムを求めるのは避けるべきです。最初のタスクとして最適なのは、フレームワークの適用可能性です。「このプロファイルを前提に、検討すべきサポート対象フレームワークはどれで、その理由は何か?」と尋ねます。その後、証跡再利用や模擬監査計画へ進みます。
compliance-osを使うべきでないケースは?
単一の規制について狭い回答だけが必要な場合、会社プロファイルが不明な場合、法域ごとの法的解釈が必要な場合、または最終的な監査保証を求めている場合には使うべきではありません。また、模擬監査シナリオをコンプライアンスの証明として使うことも避けてください。これらは準備を支援するものであり、証拠そのものではありません。
compliance-os skillを改善する方法
出力を求める前にcompliance-osの入力を改善する
compliance-osの結果を改善する最短ルートは、推測を事実に置き換えることです。顧客へのコミットメント、契約上のセキュリティ要件、地域別の販売データ、プロダクト上の表示や主張、データカテゴリ、サブプロセッサーへの依存、既存の認証を追加してください。不明な詳細は、モデルに推測させるのではなく、不明として明示します。
よくある失敗パターンに注意する
よくある問題には、フレームワークを過剰に選定すること、規制と任意標準を同等に扱うこと、証跡再利用を統制の完全な同等性とみなすこと、スコープを定義せずに監査指摘を作成することがあります。エージェントには、フレームワークを「必須」「顧客要因」「戦略的」「現時点では適用対象外」に分けるよう依頼してください。
初回出力の後に反復する
初回実行の後は、結果に対して次のように問い直します。
- 「どのフレームワーク推奨が、前提の変化に最も敏感ですか?」
- 「最も多くのフレームワークを満たす証跡項目はどれですか?」
- 「再利用しにくい統制はどれですか?」
- 「弁護士による確認が必要な点は何ですか?」
- 「EUでローンチした場合、何が変わりますか?」
これにより、compliance-osは静的なチェックリスト生成ツールではなく、意思決定を支援するワークフローになります。
組織固有のレビュー基準を追加する
より強い出力を得るには、自社のスコアリング基準を提供します。たとえば、監査期限、予算、証跡の成熟度、ツールのオーナーシップ、経営陣のリスク許容度、目的が認証取得なのか、顧客営業支援なのか、規制対応準備なのか、内部ガバナンスなのかを明示します。compliance-os skillは、抽象的な一覧ではなく、実際のコンプライアンス上の意思決定に向けて最適化できるときに最も効果を発揮します。
