クライアントのCSVデータを開く前に止まれ
「このCSV、ちょっと分析してもらえる?」
業務でそう頼まれることは珍しくない。開いてみると、氏名・メールアドレス・電話番号が何百行も並んでいる。何も考えずにAIに貼り付けようとして、ふと手が止まった。
待て。これはクライアントから預かったデータだ。
処理する前にやるべきことがある——はずなのに、具体的な手順が頭にない。「気をつけよう」という意識はあっても、「何をどこまでやればいいか」は曖昧だった。
この体験が、今回のスキルを作るきっかけになった。
コンプライアンスは「気合」で守れない
情報セキュリティの研修では、「個人情報の取り扱いには注意しましょう」と繰り返される。正しい。その通りだ。
しかし「注意する」という言葉は、何も手順を定義していない。
注意力は揺らぐ。忙しいとき、締め切り前、慣れてきた頃——人間は「なんとなく大丈夫だろう」という判断を自然にしてしまう。実際、個人情報の漏洩インシデントのほとんどは、悪意を持った人間ではなく、「いつも通りのつもりで動いていた」人間が起こしている。
気合で守ろうとするから、破れる。
仕組みで守るしかない。
Claude Codeのスキルとして「検問所」を作る
そこで作ったのが client-privacy-guard だ。
Claude Codeのカスタムスキルとして実装することで、クライアントデータを扱うすべての作業の手前に自動的に検問所が立つようになる。
スキルが起動するのは、こういう場面だ。
- クライアントデータ・顧客データ・他社データの加工を頼まれたとき
- 「マスキング」「匿名化」「個人情報を消して」という依頼が来たとき
- CSV/ExcelファイルのAIへの投入前
- 納品前のプライバシー観点チェック
ポイントは「頼まれたらやる」ではなく、**「データを後続処理に渡す前に、原則このスキルを通す」**というルールを組み込んでいる点だ。検問所は常に開いている。
何をしてくれるか
スキルが担うのは、日本の個人情報保護法(APPI)を軸にした一連の安全管理措置だ。
1. 個人情報・機密情報の自動検出 氏名・住所・電話番号・メールアドレスなど、保護が必要な列を自動識別する。
2. ポリシー駆動のマスキング・匿名化
用途に応じて、マスキング(田中太郎 → 田中XX)、仮名化、またはk-匿名性を担保した匿名化を選択できる。
3. 監査ログの生成 「いつ、誰が、どのデータに、何の処理を施したか」を記録する。後から「あのときどう処理したっけ?」という問いに答えられる状態を作る。
4. k-匿名性チェック 匿名化後のデータが、実質的に個人を特定できる状態になっていないかを検証する。「消したつもり」の穴を塞ぐ。
「習慣化」ではなく「システム化」
最初、このスキルのゴールを「コンプライアンスを習慣化する」と表現していた。しかし、作ってみてわかったことがある。
習慣化とシステム化は、根本的に違う。
習慣化は個人に依存する。その人が意識していれば機能するが、忙しくなれば乱れ、メンバーが替われば伝わらない。
**システム化は構造に依存する。**個人の意識に関係なく、プロセスの中に検問が埋め込まれる。
Claude Codeのスキルとして実装する最大の意義は、ここにある。「やらなければいけない」という意識を持ち続けなくても、スキルを呼ぶという行為そのものが、チェックを完了させる。
プロセスが人を守る。それが本物のコンプライアンスだと思っている。
実際に使ってみて変わったこと
スキルを導入してから、クライアントデータを扱うときの最初の動作が変わった。
以前は「ファイルを開く → データを見る → 何かする」だった。
今は「ファイルを開く → /client-privacy-guard を呼ぶ → 処理結果を確認してから次に進む」だ。
作業の流れに一手間加わったように見えるが、実感は逆だ。「これを通したから大丈夫」という確信を持って次のステップに進める。自信を持って仕事ができるようになった、という感覚が近い。
以前のような「なんとなく大丈夫だろう」という曖昧さが消えた。
一人でも、チームでも使える
スキルはGitHubで公開している。
https://github.com/daichitsuchiya39-creator/client-privacy-guard
Claude Code のカスタムスキルとして追加すれば、個人でもチームでも同じ検問フローを共有できる。チームに展開するときも、「このスキルを通してください」というルール一本で運用できるのは、ドキュメントによる啓発より確実だ。
問い
コンプライアンスをどこで守るか、という問いは、実は「誰が守るか」という問いでもある。
個人の意識に委ねるなら、それは人が守っている。制度やチェックリストに委ねるなら、それは文書が守っている。プロセスの構造に埋め込むなら、それは仕組みが守っている。
どれが一番壊れにくいか——答えは出ているが、多くの職場ではまだ個人の意識に頼っている。
今日届いた「ちょっと分析して」の依頼。そのファイルを開く前に、一度立ち止まってみてほしい。