compliance-readiness
作成者 alirezarezvanicompliance-readiness は、プロンプト主導でコンプライアンスレビューを行うスキルです。新しいフレームワークの導入や認証計画の前に、フレームワークの適用範囲、証跡の再利用、監査タイミング、担当範囲、準備不足の有無を事前に検証できます。
このスキルの評価は66/100で、ディレクトリ掲載には許容範囲ですが制約もあります。ディレクトリ利用者は、明確なトリガーと実用的な compliance-readiness チェックリストを得られるため、汎用プロンプトよりもエージェントを導きやすくなります。一方で、参照されている自動化スクリプトや補助資料がリポジトリ上の証跡に存在しないため、導入価値は限定的です。
- `/cs:compliance-readiness <program>` という明確なコマンドとトリガーパターンがあり、新しいフレームワーク導入前、監査計画、マネジメントレビュー、認証準備といった用途が明示されています。
- 曖昧なコンプライアンス用プロンプトではなく、コンプライアンス担当者向けの具体的な6つの質問を提供しており、エージェントが再現性のある準備状況レビューを進めやすくなっています。
- 複数フレームワークを対象にしている点は実務上有用で、特にフレームワークの適用可否、重複、証跡の再利用、監査準備状況の検証に役立ちます。
- このスキルは `framework_selector.py` や `cross_framework_mapper.py` などの補助スクリプトに言及していますが、リポジトリ上の証跡では、スキルのパス内にスクリプトやサポートファイルは含まれていません。
- インストールコマンド、README、参考資料、リソースがないため、利用者は単一の SKILL.md ファイルからセットアップ方法と補助的なコンプライアンス手法を推測する必要があります。
compliance-readiness skill の概要
compliance-readiness ができること
compliance-readiness skill は、新しいフレームワークへの対応を決める前、監査カレンダーを確定する前、または認証準備が整ったと宣言する前に、プログラムを実務目線で検証するためのコンプライアンスレビュー用プロンプトワークフローです。汎用的なチェックリストを出すのではなく、スコープ、フレームワークの網羅性、証跡の再利用、監査時期、オーナーシップ、準備状況のギャップについて AI エージェントに厳しく確認させる 6 つの問いを中心に設計されています。
コンプライアンスレビュー業務に向いているケース
この skill は、ISO、SOC、HIPAA、金融サービス、AI ガバナンス、地域別の規制要件などが重なり合う、複数フレームワークのコンプライアンスプログラムを管理・支援している場合に向いています。特に、外部監査に向けて単発のポリシー要約ではなく、構造化された事前レビューを必要とするコンプライアンス責任者、GRC 担当者、セキュリティプログラムマネージャー、内部監査人、創業者に役立ちます。
汎用プロンプトとの違い
通常のプロンプトなら「ISO 27001 の準備はできていますか?」と聞くかもしれません。compliance-readiness skill は、適切なフレームワークが選ばれているか、どの統制を再利用できるか、証跡収集が非効率になっていないか、監査指摘がより深いプログラム上の弱点を示していないかを確認します。そのため、単なる文書整理ではなく、早期のリスク発見や計画判断に向いています。
導入前に確認すべきポイント
上流の skill フォルダには、単一の SKILL.md ファイルのみが含まれており、同梱スクリプト、ルール、参照アセットは見当たらないようです。skill の本文では framework_selector.py や cross_framework_mapper.py といったツールに言及していますが、それらに依存する前に、自社環境の別の場所に実在するかを確認してください。存在しない場合は、自社のフレームワーク台帳や統制マッピングプロセスで置き換える必要があります。
compliance-readiness skill の使い方
compliance-readiness のインストール前提
Claude skills を実行している環境と同じ場所に、この skill をインストールします。一般的なインストールコマンドは次のとおりです。
npx skills add alirezarezvani/claude-skills --skill compliance-readiness
その後、compliance-os/skills/compliance-readiness/SKILL.md のソースを確認します。この skill はプロンプト駆動であり、専用フォルダ内に補助ファイルを含まないため、インストール後に最も重要なのは、エージェントが /cs:compliance-readiness <program> を呼び出せるか、そして必要なコンプライアンスデータが会話内または接続済みワークスペースで利用できるかを確認することです。
skill に渡すべき入力情報
compliance-readiness を有効に使うには、フレームワーク名だけでは不十分です。組織の種類、拠点、規制対象となる活動、現在対応しているフレームワーク、予定している認証、監査日程、証跡リポジトリ、統制オーナー、直近の指摘事項、証跡要求の重複や年々増える証跡量といった課題を含めてください。
弱い入力例:
/cs:compliance-readiness ISO 27001 readiness
より強い入力例:
/cs:compliance-readiness Review our B2B SaaS compliance program. We operate in the US and EU, process customer PII, currently maintain SOC 2 Type II and ISO 27001, are considering ISO 42001 for AI features, and have an external audit in Q3. Evidence is stored in Jira, Google Drive, and Vanta. Last audit had 18% high/critical findings, mostly access review and vendor risk issues. Identify missing frameworks, evidence reuse opportunities, readiness blockers, and management review topics.
推奨ワークフロー
最初に用意すべきなのは、取得したい認証名ではなく、プログラムの棚卸しです。skill に 6 つの問いに基づくレビューを実行させ、出力は意思決定に使いやすい区分で依頼します。具体的には、フレームワークスコープ、重複と再利用、監査カレンダー上のリスク、統制オーナーの空白、証跡品質の問題、「これが解決するまで進めない」ブロッカーなどです。最初のレビュー後に、統制マトリクス、監査指摘、証跡インデックスを追加で渡すと、抽象的な懸念を具体的な是正作業に落とし込めます。
最初に読むべきリポジトリファイル
まず SKILL.md を読んでください。ここにコマンド、利用すべきタイミング、6 つの問いの構造が含まれています。この skill フォルダ内には、ローカルの README.md、metadata.json、rules/、resources/、references/、scripts/ ファイルは見当たりません。そのため、隠れた実装ロジックがある前提で使わないでください。この skill は、提供するコンテキストの質に大きく依存する、コンプライアンス上の問い詰めパターンとして扱うのが適切です。
compliance-readiness skill FAQ
compliance-readiness はコンプライアンスレビュー向けですか、それとも認証実行向けですか?
これは、実行判断の前に行う Compliance Review に最も適しています。たとえば、新しいフレームワークの採用、監査計画、マネジメントレビュー、認証ステージ 1 の準備確認などです。ギャップや優先事項を明らかにすることはできますが、監査人の判断、法的助言、正式な統制テスト、証跡検証の代替にはなりません。
この skill を使うべきでない場面
法的適用性、規制解釈、最終的な監査準備状況を判断する唯一の根拠として使うべきではありません。また、システム、データ種別、フレームワーク、オーナー、証跡の保管場所について棚卸しがない場合にも向いていません。その場合は、まず基本的なコンプライアンスプログラムのプロファイルを作成してから、compliance-readiness のガイドを実行してください。
通常のコンプライアンスプロンプトとの比較
通常のプロンプトは、統制のリストを生成するだけになりがちです。この skill がより役立つのは、自社プログラムのスコープが正しいか、運用上効率的かという難しい問いに向き合うときです。複数フレームワークの重なり、証跡の再利用、監査サイクルのタイミング、コンプライアンスプログラムが高コスト化・断片化している兆候に重点を置きます。
初心者にも使いやすいですか?
はい。基本的なコンプライアンス情報を集められるユーザーであれば使いやすい構成です。表現は直接的で、6 つの問いの構造も追いやすくなっています。ただし、初心者はフレームワークの適用性には注意が必要です。HIPAA、NYDFS、FINMA、ISO 13485、ISO 42001、EU AI Act が自社に適用されるか不明な場合は、回答を最終結論として扱うのではなく、前提条件と確認すべき質問を列挙するよう skill に依頼してください。
compliance-readiness skill を改善する方法
より良いスコープで compliance-readiness の結果を改善する
最もよくある失敗は、一見もっともらしい回答でありながら、フレームワーク、事業部、データフロー、管轄区域のいずれかを見落としているケースです。プロンプトには、製品、顧客タイプ、地域、規制対象データ、サードパーティ依存関係、予定している市場変更を明記してください。スコープが明確になるほど、この skill は単なるチェックリスト生成ではなく、有用な準備状況レビューとして機能します。
証跡と統制の詳細を追加する
統制マトリクス、ポリシー一覧、証跡インデックス、監査カレンダー、過去の指摘事項、リスク登録簿、ベンダー一覧、オーナーシップモデルといった成果物を渡すと、skill の出力はより実行可能になります。依頼時には、「複数の統制でそのまま再利用できる同一証跡」「修正すれば使える類似証跡」「個別に必要な固有証跡」を区別するよう求めてください。これは compliance-readiness skill の中核にある再利用ロジックを直接支えます。
初回レビュー後に反復する
最初の出力を受け取ったら、ギャップ一覧で止めないでください。30/60/90 日の是正計画、監査準備上のブロッカー、マネジメントレビューの議題、統制オーナーに送る質問を依頼します。出力が広すぎる場合は、「Focus only on SOC 2, ISO 27001, and ISO 42001 overlap」や「Rank gaps by audit failure risk and evidence collection effort」のように範囲を絞ってください。
根拠の弱い推奨や未検証の提案に注意する
この skill は、フォルダ内にローカル参照ファイルや実行可能なマッピングスクリプトを同梱していないため、フレームワークの対応関係、法的主張、ツールの操作指示は、運用に使う前に必ず検証してください。最も効果的な改善方法は、compliance-readiness の利用を、権威あるフレームワーク原典、社内 GRC システム、監査人からのフィードバックと組み合わせることです。そうすることで、エージェントは思い込みではなく実際の証跡に基づいてプログラムを検証できます。
