compliance-check
提案されたアクション、プロダクト機能、またはビジネス施策に対してコンプライアンスチェックを実行し、適用される規制・必要な承認・リスク領域を洗い出します。個人データに関わる機能のリリース時、規制上の影響が生じるマーケティングや製品提案の検討時、または実行前に必要な承認事項や管轄ごとの要件を把握したい場合に活用してください。
description の原文を見る
Run a compliance check on a proposed action, product feature, or business initiative, surfacing applicable regulations, required approvals, and risk areas. Use when launching a feature that touches personal data, when marketing or product proposes something with regulatory implications, or when you need to know which approvals and jurisdictional requirements apply before proceeding.
SKILL.md 本文
/compliance-check -- コンプライアンスレビュー
不慣れなプレースホルダーがある場合や、どのツールが接続されているかを確認する必要がある場合は、
CONNECTORS.mdを参照してください。
提案されたアクション、プロダクト機能、マーケティングキャンペーン、またはビジネスイニシアチブに対してコンプライアンスチェックを実行します。
重要: このコマンドは法務ワークフローをサポートしていますが、法的助言を提供するものではありません。コンプライアンス評価は資格を有する法務専門家による審査を受けるべきです。規制要件は頻繁に変更されるため、常に信頼できる情報源で現在の要件を確認してください。
使い方
/compliance-check $ARGUMENTS
必要な情報
計画していることを説明してください。例:
- 「現金報酬付きの紹介プログラムを立ち上げたい」
- 「モバイルアプリに生体認証を追加している」
- 「EU顧客データを米国データセンターで処理する必要がある」
- 「マーケティングが広告で顧客の証言を使用したい」
出力
## Compliance Check: [Initiative]
### Summary
[クイック評価: 進める / 条件付きで進める / さらなるレビューが必要]
### 適用される規制とポリシー
| 規制/ポリシー | 関連性 | 主要要件 |
|-------------------|-----------|-----------------|
| [GDPR / CCPA / HIPAA / など] | [どのように適用されるか] | [何をすべきか] |
### 要件
| # | 要件 | ステータス | 必要なアクション |
|---|-------------|--------|---------------|
| 1 | [要件] | [満たされている / 満たされていない / 不明] | [何をすべきか] |
### リスク領域
| リスク | 重要度 | 軽減策 |
|------|----------|------------|
| [リスク] | [高/中/低] | [どのように対処するか] |
### 推奨アクション
1. [最も重要なアクション]
2. [優先度2]
3. [優先度3]
### 必要な承認
| 承認者 | 理由 | ステータス |
|----------|-----|--------|
| [人/チーム] | [理由] | [保留中] |
### さらなるレビューが推奨される
[外部法律顧問または専門家によるレビューが勧められる領域]
プライバシー規制の概要
GDPR (一般データ保護規則)
スコープ: 処理組織の所在地に関わらず、EU/EEA域内の個人のパーソナルデータ処理に適用されます。
社内法務チームの主要義務:
- 適法根拠: 各処理活動の適法根拠を特定し文書化する(同意、契約、正当な利益、法的義務、重要な利益、公的な任務)
- データ主体の権利: アクセス、修正、削除、可搬性、制限、異議申し立て要求に30日以内に対応する(複雑な要求の場合は60日延長可能)
- データ保護影響評価(DPIA): 個人への高いリスクが生じる可能性のある処理に必須
- 違反通知: パーソナルデータ違反を認識してから72時間以内に監督機関に通知。高リスクの場合は遅延なく影響を受けた個人に通知
- 処理記録: 第30条の処理活動記録を保持
- 国際転送: EEA外への転送に適切な保護措置を確保する(SCC、適切性決定、BCR)
- DPO要件: 必要に応じてデータ保護責任者を任命する(公的機関、特別カテゴリのデータの大規模処理、大規模な体系的監視)
一般的な社内法務のタッチポイント:
- ベンダーDPAのGDPR準拠性の審査
- プロダクトチームへのプライバシー・バイ・デザイン要件についてのアドバイス
- 監督機関からの問い合わせへの対応
- 国境を越えたデータ転送メカニズムの管理
- 同意メカニズムとプライバシー通知の審査
CCPA / CPRA (カリフォルニア消費者プライバシー法 / カリフォルニアプライバシー権法)
スコープ: カリフォルニア州民のパーソナルデータを収集し、売上高、データ量、またはデータ売却の閾値を満たす事業に適用されます。
主要義務:
- 知る権利: 消費者は収集、使用、共有されたパーソナル情報の開示を請求できます
- 削除権: 消費者は自分のパーソナル情報の削除を請求できます
- オプトアウト権: 消費者はパーソナル情報の売却または共有からオプトアウトできます
- 修正権: 消費者は不正確なパーソナル情報の修正を請求できます(CPRA追加)
- センシティブパーソナル情報の使用制限権: 消費者はセンシティブ情報の使用を特定の目的に制限できます(CPRA追加)
- 無差別: 権利を行使した消費者に対して差別することはできません
- プライバシー通知: 収集時または収集前にプライバシー通知を提供し、収集されるパーソナル情報のカテゴリと目的を説明する必要があります
- サービスプロバイダー契約: サービスプロバイダーとの契約では、パーソナル情報の使用を指定されたビジネス目的に制限する必要があります
対応期間:
- 受領から10営業日以内に受領確認
- 45暦日以内に実質的に対応する(通知により45日延長可能)
その他の主要規制
| 規制 | 管轄区域 | 主要な特徴 |
|---|---|---|
| LGPD (ブラジル) | ブラジル | GDPRと同様。DPO任命必須。国家データ保護庁(ANPD)による執行 |
| POPIA (南アフリカ) | 南アフリカ | 情報レギュレーター監督。処理登録必須 |
| PIPEDA (カナダ) | カナダ(連邦) | 同意ベースのフレームワーク。個人情報委員会(OPC)監督。現在改正中 |
| PDPA (シンガポール) | シンガポール | 着信拒否登録あり。違反通知必須。PDPC執行 |
| Privacy Act (オーストラリア) | オーストラリア | オーストラリアプライバシー原則(APP)。通知可能データ違反スキーム |
| PIPL (中国) | 中国 | 厳格な国境を越えた転送規則。データローカライゼーション要件。CAC監督 |
| UK GDPR | イギリス | ブレグジット後のイギリス版。ICO監督。EU GDPRと同様だがイギリス固有の適切性あり |
DPA審査チェックリスト
データ処理契約またはデータ処理補遺を審査する際は、以下を確認してください:
必須要素 (GDPR第28条)
- 主題および期間: 処理のスコープと期間が明確に定義されている
- 性質および目的: どのような処理が行われ、なぜ行われるかの具体的な説明
- パーソナルデータの種類: 処理されるパーソナルデータのカテゴリ
- データ主体のカテゴリ: 誰のパーソナルデータが処理されるか
- コントローラーの義務と権利: コントローラーの指示と監督権
プロセッサーの義務
- 文書化された指示によってのみ処理: プロセッサーはコントローラーの指示のみに従って処理することにコミットしている(法的要件の例外を除く)
- 機密保持: 処理を許可された人員は機密保持にコミットしている
- セキュリティ対策: 適切な技術的および組織的対策が説明されている(第32条参照)
- サブプロセッサー要件:
- 書面による許可要件(一般的または個別)
- 一般的な許可の場合: 変更の通知と異議を唱える機会
- サブプロセッサーは書面契約で同じ義務にバインドされている
- プロセッサーはサブプロセッサーのパフォーマンスについて責任がある
- データ主体の権利援助: プロセッサーはコントローラーがデータ主体要求に対応するのを支援する
- セキュリティと違反援助: プロセッサーはセキュリティ義務、違反通知、DPIA、事前協議を支援する
- 削除または返却: 終了時に、すべてのパーソナルデータを削除または返却する(コントローラーの選択)。法的保持が必要でない限り既存のコピーを削除する
- 監査権: コントローラーは監査と検査を実施する権利がある(またはサードパーティ監査報告書を受け入れる)
- 違反通知: プロセッサーはパーソナルデータ違反についてコントローラーに遅延なく通知する(理想的には24~48時間以内。72時間の規制期限に適合させるためコントローラーを有効にする必要がある)
国際転送
- 転送メカニズムが特定されている: SCC、適切性決定、BCR、その他の有効なメカニズム
- SCC版: 該当する場合、現在のEU SCC(2021年6月版)を使用している
- 正しいモジュール: 適切なSCCモジュール(C2P、C2C、P2P、P2C)が選択されている
- 転送影響評価: 適切性決定のない国への転送の場合、完了している
- 補完的措置: 転送影響評価で特定されたギャップに対処するための技術的、組織的、契約的措置
- UK付録: UK パーソナルデータがスコープ内の場合、UK国際データ転送付録が含まれている
実務上の考慮事項
- 責任: DPA責任条項は主サービス契約と一致している(または矛盾していない)
- 終了の一致: DPA期間はサービス契約と一致している
- データ場所: 処理場所が指定されており受け入れ可能である
- セキュリティ標準: 特定のセキュリティ標準または認証が必須である(SOC 2、ISO 27001など)
- 保険: データ処理活動の適切な保険が対象である
一般的なDPA問題
| 問題 | リスク | 標準的なポジション |
|---|---|---|
| 通知なしの一括サブプロセッサー許可 | 処理チェーンの管理を失う | 異議を唱える権利を伴う通知を要求する |
| 違反通知期間 > 72時間 | 規制通知の時間厳守を防ぐ | 24~48時間以内の通知を要求 |
| 監査権がない(またはサードパーティ報告書のみ) | コンプライアンスを検証できない | SOC 2 Type II + 根拠に基づく監査権を受け入れる |
| データ削除期間が指定されていない | データが無期限に保持される | 終了から30~90日以内の削除を要求 |
| 処理場所が指定されていない | データはどこでも処理される可能性がある | 処理場所の開示を要求する |
| 古いSCC | 無効な転送メカニズム | 現在のEU SCC(2021年版)を要求する |
データ主体要求処理
要求の受け付け
データ主体要求を受け取った場合:
-
要求の種類を特定:
- アクセス(パーソナルデータのコピー)
- 修正(不正確なデータの修正)
- 削除 / 抹消(「忘れられる権利」)
- 処理の制限
- データの可搬性(構造化、機械可読形式)
- 処理への異議申し立て
- 売却/共有からのオプトアウト(CCPA/CPRA)
- センシティブパーソナル情報の使用制限(CPRA)
-
適用される規制を特定:
- データ主体はどこに所在しているか?
- 組織の存在と活動に基づいて、どの法律が適用されるか?
- 具体的な要件と期間は?
-
身元確認:
- 要求者が本人であることを確認する
- データの機密性に見合った合理的な確認措置を使用する
- 過度な文書化は要求しない
-
要求をログに記録:
- 受信日
- 要求の種類
- 要求者の身元
- 適用される規制
- 対応期限
- 割り当てられたハンドラー
対応期間
| 規制 | 初期確認 | 実質的な対応 | 延長 |
|---|---|---|---|
| GDPR | 指定なし(ベストプラクティス: 迅速に) | 30日 | +60日(通知付き) |
| CCPA/CPRA | 10営業日 | 45暦日 | +45日(通知付き) |
| UK GDPR | 指定なし(ベストプラクティス: 迅速に) | 30日 | +60日(通知付き) |
| LGPD | 指定なし | 15日 | 限定的な延長 |
免除と例外
要求を履行する前に、免除が適用されるかどうかを確認してください:
規制全体の一般的な免除:
- 法的請求防御または確立
- 保持を要求する法的義務
- 公共の利益または公式の権限
- 言論と情報の自由(削除要求の場合)
- 公共の利益のためのアーカイブまたは科学的/歴史的研究
組織固有の考慮事項:
- リティゲーション・ホールド: 法的保留中のデータ主体データは削除できません
- 規制保持: 財務記録、雇用記録、その他のカテゴリは必須保持期間がある場合があります
- 第三者の権利: 要求を履行することは他者の権利に悪影響を与える可能性があります
対応プロセス
- 全システムから要求者のすべてのパーソナルデータを収集する
- 免除を適用し、根拠を文書化する
- 対応を準備する: 要求を履行するか、なぜ(全部または部分的に)履行できないのかを説明する
- 拒否する場合(全部または部分的に): 拒否の具体的な法的根拠を引用する
- 監督機関に苦情を申し立てる権利について要求者に通知する
- 対応を文書化し、要求と対応の記録を保持する
規制監視の基本
監視対象
以下の領域での進展に対する認識を維持します:
- 規制ガイダンス: 監督機関(ICO、CNIL、FTC、州AG等)からの新規または更新されたガイダンス
- 執行アクション: 規制上の優先事項を示す罰金、命令、和解
- 立法変更: 新しいプライバシー法、既存法の修正、実装規則
- 業界標準: ISO 27001、SOC 2、NISHフレームワーク、業界固有の要件の更新
- 国境を越えた転送の進展: 適切性決定、SCC更新、データローカライゼーション要件
監視アプローチ
- 規制機関の通信を購読する(ニュースレター、RSSフィード、公式発表)
- 関連する法律出版物を追跡する(新しい展開の分析)
- 業界団体の更新を確認する(業界固有のガイダンス)
- 規制カレンダーを維持する(既知の期限、発効日、コンプライアンスマイルストーン)
- 法務チームをブリーフする(組織の処理活動に影響する重大な進展)
エスカレーション基準
以下の場合、上級法律顧問またはリーダーシップにエスカレートします:
- 新しい規制またはガイダンスが組織の中核事業活動に直接影響する
- 業界での執行アクションが規制上の精査の強化を示している
- コンプライアンス期限が組織の変更を必要とする場合が近づいている
- 組織が依存するデータ転送メカニズムが異議を唱えられたまたは無効化された
- 規制機関が組織に関わる調査または調査を開始した
ヒント
- 具体的に — 「すべてのユーザーにメールを送信したい」は「マーケティングキャンペーン」より良い。
- 地理情報を含める — コンプライアンス要件は管轄区域によって異なります。
- データについて述べる — どのようなパーソナル情報が関係していますか? これがほとんどのコンプライアンス要件を駆動します。
ライセンス: Apache-2.0(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- anthropics
- ライセンス
- Apache-2.0
- 最終更新
- 不明
Source: https://github.com/anthropics/knowledge-work-plugins / ライセンス: Apache-2.0
関連スキル
hugging-face-trackio
Trackioを使用してMLトレーニング実験を追跡・可視化できます。トレーニング中のメトリクスログ記録(Python API)、トレーニング診断のアラート発火、ログされたメトリクスの取得・分析(CLI)が必要な場合に活用してください。リアルタイムダッシュボード表示、Webhookを使用したアラート、HF Space同期、自動化向けのJSON出力に対応しています。
btc-bottom-model
ビットコインのサイクルタイミングモデルで、加重スコアリングシステムを搭載しています。日次パルス(4指標、32ポイント)とウィークリー構造(9指標、68ポイント)の2カテゴリーにわたる13の指標を追跡し、0~100のマーケットヒートスコアを算出します。ETFフロー、ファンディングレート、ロング/ショート比率、恐怖・貪欲指数、LTH-MVRV、NUPL、SOPR(LTH+STH)、LTH供給率、移動平均倍率(365日MA、200週MA)、週次RSI、出来高トレンドに対応します。市場サイクル全体を通じて買いと売りの両方の推奨を提供します。ビットコインの底値拾い、BTCサイクルポジション、買い時・売り時、オンチェーン指標、MVRV、NUPL、SOPR、LTH動向、ETFの流出入、ファンディングレート、恐怖指数、ビットコインが過熱状態か、マイナーコスト、暗号資産市場のセンチメント、BTCのポジションサイジング、「今ビットコインを買うべきか」「BTCが天井をつけているか」「オンチェーン指標は何を示しているか」といった質問の際にこのスキルを活用します。
protein_solubility_optimization
タンパク質の溶解性最適化 - タンパク質の溶解性を最適化します。タンパク質の特性を計算し、溶解性と親水性を予測し、有効な変異を提案します。タンパク質配列の特性計算、タンパク質機能の予測、親水性計算、ゼロショット配列予測を含むタンパク質エンジニアリング業務に使用できます。3つのSCPサーバーから4つのツールを統合しています。
research-lookup
Parallel Chat APIまたはPerplexity sonar-pro-searchを使用して、最新の研究情報を検索できます。学術論文の検索にも対応しています。クエリは自動的に最適なバックエンドにルーティングされるため、論文の検索、研究データの収集、科学情報の検証に活用できます。
tree-formatting
ggtree(R)またはiTOL(ウェブ)を使用して、系統樹の可視化とフォーマットを行います。系統樹を図として描画する際、ツリーレイアウトの選択、分類学に基づく枝やラベルの色付け、クレードの折りたたみ、サポート値の表示、またはツリーへのオーバーレイ追加が必要な場合に使用してください。系統推定(protein-phylogenyスキルを使用)やドメイン注釈(今後の独立したスキル)には使用しないでください。
querying-indonesian-gov-data
インドネシア政府の50以上のAPIとデータソースに接続できます。BPJPH(ハラール認証)、BOM(食品安全)、OJK(金融適正性)、BPS(統計)、BMKG(気象・地震)、インドネシア中央銀行(為替レート)、IDX(株式)、CKAN公開データポータル、pasal.id(第三者法MCP)に対応しています。インドネシア政府データを活用したアプリ開発、.go.idウェブサイトのスクレイピング、ハラール認証の確認、企業の法的適正性の検証、金融機関ステータスの照会、またはインドネシアMCPサーバーへの接続時に使用できます。CSRF処理、CKAN API使用方法、IP制限回避など、すぐに実行可能なPythonパターンを含んでいます。