A

gdpr-audit-prepは、監査やデューデリジェンスの前に、RoPA、法的根拠、DPIA、データ移転、侵害対応、保存期間、証拠の不足を確認するため、条文に基づく6つのDPO質問でチームのGDPR対応状況を点検できます。

スター22.1k
お気に入り0
コメント0
追加日2026年7月11日
カテゴリーCompliance Review
インストールコマンド
npx skills add alirezarezvani/claude-skills --skill gdpr-audit-prep
編集スコア

このスキルの評価は73/100です。汎用的なコンプライアンスプロンプトよりも明確な確認構造をエージェントに与える、GDPR監査準備に特化したプロンプトとして、ディレクトリ掲載には十分な水準です。ディレクトリ利用者は、テンプレート、スクリプト、法的参照まで備えた完全な監査システムではなく、GDPR対応状況を負荷テストするための軽量なDPO風チェックリストとして捉えるのが適切です。

73/100
強み
  • トリガーと用途が明確です。コマンド `/cs:gdpr-audit-prep <scope>` は、年次GDPRレビュー、侵害対応、DPA調査への備え、買収デューデリジェンスに明示的に紐づいています。
  • 実務に使いやすい中核があります。Article 30のRoPA、Article 6の法的根拠、DPIAの実施判断、侵害関連のArticles 33-34など、条文を示した6つのDPO向け質問を中心に構成されています。
  • エージェントによる確認・追及に向いています。強制的に問いを立てる形式により、一般的なGDPR解説に流れず、不足しているコンプライアンス証拠を洗い出しやすくなります。
注意点
  • 補助ファイル、参考資料、スクリプト、テンプレート、インストール手順は含まれていないため、利用できるのは SKILL.md のワークフローのみです。
  • リポジトリ上の情報を見る限り、チェックリスト形式の問いかけ以上の実装詳細は限られており、包括的なGDPR監査パッケージを必要とするチームには不足する可能性があります。
概要

gdpr-audit-prep skill の概要

gdpr-audit-prep ができること

gdpr-audit-prep は、DPO の視点に近い 6 つの質問で、GDPR 対応状況を実務的に検証するためのコンプライアンスレビュー skill です。単なるやさしいチェックリストを作るのではなく、AI アシスタントにプライバシー関連の証跡を厳しく確認させる設計になっています。主な用途は明確です。監査、侵害対応、DPA 対応、DPIA、RoPA 更新、買収レビューの前にこの skill を使い、記録の欠落、弱い lawful basis の主張、文書化されていない移転、古い保持ルール、不完全なデータ主体権利対応をあぶり出します。

コンプライアンスレビューチームに向いているケース

gdpr-audit-prep skill は、プライバシー責任者、法務オペレーションチーム、DPO 支援担当、セキュリティ/コンプライアンスマネージャー、GDPR の精査に備えるスタートアップ運営者に向いています。特に、RoPA、DPIA、privacy notice、DPA list、transfer impact assessment、retention schedule、breach log など、ある程度の資料はそろっているものの、弁護士、監査人、買い手、監督機関に提出する前に構造化された突っ込みを入れたい場合に役立ちます。

一般的な GDPR プロンプトとの違い

一般的なプロンプトは、GDPR 上の義務を要約するだけになりがちです。gdpr-audit-prep はより範囲を絞っており、運用上のレビューに使いやすい skill です。Article 30 の記録、Article 6 の lawful basis、DPIA の実施トリガー、国際移転、侵害通知、証跡の品質など、特定の GDPR Articles にひもづいた強制力のある質問を投げます。価値があるのは「GDPR をやってくれる」点ではありません。自社が主張するコンプライアンス状態を、日付があり、具体的で、レビュー可能な文書で本当に支えられるかを明らかにする点です。

導入前に知っておくべき制約

この skill は、法的助言、DPO、または包括的な GDPR 監査プログラムの代替ではありません。また、同梱されているのは単一の SKILL.md であり、スクリプト、参照資料、補助リソースは含まれていません。そのため、自動的な証跡スキャナーではなく、プロンプトワークフロー用のアセットとして捉えるべきです。具体的なスコープと文書を渡したときに最も効果を発揮します。一方で、処理活動、地域、ベンダー一覧、監査目的を示さずに「GDPR compliance を確認して」と依頼すると、十分な力を発揮しません。

gdpr-audit-prep skill の使い方

gdpr-audit-prep のインストールとリポジトリパス

Claude skills のワークフローで使う場合は、次のリポジトリパスからインストールします。

npx skills add alirezarezvani/claude-skills --skill gdpr-audit-prep

上流の場所は、alirezarezvani/claude-skills 内の compliance-os/skills/gdpr-audit-prep です。まず SKILL.md を読みます。この skill には、個別に確認すべき README.mdrules/references/resources/、スクリプトはありません。インストールは簡単ですが、その分、出力品質の多くは自社で用意する証跡パックとプロンプトの組み立て方に左右されます。

レビュー前に skill が必要とする入力

質の高い gdpr-audit-prep usage のためには、レビュー対象のスコープと、突っ込んで確認してほしい証跡を明確に渡します。役立つ入力には、次のようなものがあります。

  • 処理活動名、controller/processor の役割、対象国、データ主体、データカテゴリ
  • 最終更新日付きの RoPA 抜粋
  • 目的別の lawful basis、該当する場合は legitimate interests assessment
  • DPIA、または DPIA を実施しない理由
  • ベンダー/subprocessor 一覧、SCCs、移転メカニズム、移転リスクに関するメモ
  • retention schedule と削除コントロール
  • breach log またはインシデント対応の文脈
  • 関連する場合は privacy notice、DSAR 手続き、consent records

悪いプロンプト例は、「GDPR compliant か確認して」です。
より良いプロンプト例は、次のようになります。「Use gdpr-audit-prep for Compliance Review of our EU customer analytics processing. We are controller, use Mixpanel and AWS, process account IDs, usage events, IP addresses, and support metadata. Review the attached RoPA extract, LIA, DPA list, retention schedule, and privacy notice. Identify audit-facing gaps by GDPR Article, evidence needed, and owner-ready remediation questions.」

完成度の高いプロンプトにするための実務フロー

正式なレビューミーティングの後ではなく、意思決定が固まる前にこの skill を実行します。実用的な流れは次のとおりです。

  1. 年次監査、Article 30 更新、高リスクな新機能リリース、侵害対応準備、DPA 調査、M&A デューデリジェンスなど、正確なスコープを定義する。
  2. 記憶ベースで質問するのではなく、関連資料を貼り付けるか添付する。
  3. 各 DPO 的な強制質問に対し、findingGDPR Articleevidence seenevidence missingrisknext action で回答するよう依頼する。
  4. 事実と推測を分ける。モデルが何かを推測した場合は、その推測を明示させる。
  5. 最初の出力を、owner、due date、evidence link、audit status を含む remediation tracker に変換する。

出力品質を高めるコツ

安心材料をもらうのではなく、敵対的にレビューしてもらうよう依頼します。「challenge our evidence」「act as a DPO before supervisory authority engagement」「do not accept undocumented claims」といった表現は、「summarize compliance」よりも良い結果につながりやすいです。処理活動が複数ある場合は、それぞれについて gdpr-audit-prep を個別に実行してください。Article 6 の根拠、保持、移転、DPIA のロジックは、目的ごとに異なることが多いためです。

gdpr-audit-prep skill FAQ

gdpr-audit-prep は初心者にも使えますか?

はい。ただし、実際のプライバシー関連文書にアクセスでき、対象となる処理活動を理解していることが前提です。6 つの質問構成により GDPR レビューを始めやすくなりますが、GDPR の概念を一からすべて教えてくれるものではありません。初心者は、外部向けの主張を行う前に、出力を法務またはプライバシー専門家のレビューと組み合わせるべきです。

gdpr-audit-prep を使うべきでない場面は?

法的解釈、規制当局とのやり取り、侵害通知の判断、最終的な DPIA 承認について、唯一の根拠として使うべきではありません。また、広範なプライバシープログラム設計、cookie banner 実装、CCPA のみを対象とするレビュー、自動的なコードベーススキャンにも向いていません。用途は、GDPR 監査準備と証跡への突っ込みに絞るのが適切です。

プライバシーチェックリストとは何が違いますか?

チェックリストは、項目が存在するかどうかを確認します。gdpr-audit-prep guide のアプローチは、その項目が防御可能かどうかを問います。つまり、日付があり、Article と整合し、特定の処理目的にひもづき、記録で裏付けられているかを確認します。この違いは重要です。GDPR 監査で問題になるのは、文書がまったく存在しないケースだけではありません。古くなった RoPA、混在した lawful basis、裏付けのない legitimate interest の主張、文書化されていない越境移転なども重大な失敗要因になります。

processor と controller の両方で使えますか?

はい。ただし、どちらの役割に該当するかを明示する必要があります。Article 30 の要件は controller と processor で異なり、契約、subprocessors、指示、joint controller の取り決めに関して期待される証跡も大きく変わります。自社が両方の役割を持つ場合は、処理関係ごとにレビューを分けてください。

gdpr-audit-prep skill を改善する方法

より良い証跡パックで gdpr-audit-prep を改善する

gdpr-audit-prep の結果を改善する最短の方法は、結論を求める前に証跡パックを渡すことです。ファイル名、日付、文書オーナー、既知のギャップを含めてください。たとえば、「RoPA updated 2024-11-02, LIA draft missing balancing test, SCCs signed with vendor but no TIA, retention rule says 24 months but deletion job not evidenced.」のように記載します。これにより、アシスタントは監査上の指摘と、単なる文脈不足を区別しやすくなります。

よくある失敗パターンに注意する

主な失敗パターンは、あいまいなコンプライアンス表現をそのまま受け入れてしまうことです。「ensure appropriate measures」のように、記録、Article、コントロール、または不足している証拠を特定しない出力には差し戻しを行ってください。もう一つの失敗は、複数の目的をひとまとめにすることです。1 つのプロダクトワークフローにも、アカウント作成、請求、分析、不正防止、サポートが含まれる場合があり、それぞれ lawful basis と retention のロジックが異なります。

質問から remediation へ展開する

最初の実行後は、指摘事項をアクションプランに変換する 2 回目のレビューを依頼します。便利なフォローアッププロンプトは次のとおりです。「Turn the unresolved gdpr-audit-prep findings into a remediation table with priority, GDPR Article, required evidence, accountable team, suggested due date, and what would satisfy an auditor.」これにより、この skill を Compliance Review の実務に落とし込みやすくなります。

最終利用前に社内ポリシーの文脈を追加する

本番利用では、自社のリスク許容度と文書基準に合わせて skill を調整します。RoPA template、DPIA threshold rules、breach escalation policy、vendor review criteria、transfer assessment method、retention taxonomy を追加してください。一般的な GDPR 期待値ではなく、自社の実際のコンプライアンス運用モデルに照らしてレビューさせることで、skill の信頼性は高まります。

評価とレビュー

まだ評価がありません
レビューを投稿
このスキルの評価やコメントを投稿するにはサインインしてください。
G
0/10000
新着レビュー
保存中...