Back to Blog
情報セキュリティコンプライアンスClaude Code個人情報保護業務効率化

クライアントのCSVデータを開く前に止まれ——コンプライアンスをスキルで習慣化した話

クライアントのCSVデータを開く前に止まれ

「このCSV、ちょっと分析してもらえる?」

業務でそう頼まれることは珍しくない。開いてみると、氏名・メールアドレス・電話番号が何百行も並んでいる。何も考えずにAIに貼り付けようとして、ふと手が止まった。

待て。これはクライアントから預かったデータだ。

処理する前にやるべきことがある——はずなのに、具体的な手順が頭にない。「気をつけよう」という意識はあっても、「何をどこまでやればいいか」は曖昧だった。

この体験が、今回のスキルを作るきっかけになった。


コンプライアンスは「気合」で守れない

情報セキュリティの研修では、「個人情報の取り扱いには注意しましょう」と繰り返される。正しい。その通りだ。

しかし「注意する」という言葉は、何も手順を定義していない

注意力は揺らぐ。忙しいとき、締め切り前、慣れてきた頃——人間は「なんとなく大丈夫だろう」という判断を自然にしてしまう。実際、個人情報の漏洩インシデントのほとんどは、悪意を持った人間ではなく、「いつも通りのつもりで動いていた」人間が起こしている。

気合で守ろうとするから、破れる。

仕組みで守るしかない。


Claude Codeのスキルとして「検問所」を作る

そこで作ったのが client-privacy-guard だ。

Claude Codeのカスタムスキルとして実装することで、クライアントデータを扱うすべての作業の手前に自動的に検問所が立つようになる。

スキルが起動するのは、こういう場面だ。

  • クライアントデータ・顧客データ・他社データの加工を頼まれたとき
  • 「マスキング」「匿名化」「個人情報を消して」という依頼が来たとき
  • CSV/ExcelファイルのAIへの投入前
  • 納品前のプライバシー観点チェック

ポイントは「頼まれたらやる」ではなく、**「データを後続処理に渡す前に、原則このスキルを通す」**というルールを組み込んでいる点だ。検問所は常に開いている。


何をしてくれるか

スキルが担うのは、日本の個人情報保護法(APPI)を軸にした一連の安全管理措置だ。

1. 個人情報・機密情報の自動検出 氏名・住所・電話番号・メールアドレスなど、保護が必要な列を自動識別する。

2. ポリシー駆動のマスキング・匿名化 用途に応じて、マスキング(田中太郎田中XX)、仮名化、またはk-匿名性を担保した匿名化を選択できる。

3. 監査ログの生成 「いつ、誰が、どのデータに、何の処理を施したか」を記録する。後から「あのときどう処理したっけ?」という問いに答えられる状態を作る。

4. k-匿名性チェック 匿名化後のデータが、実質的に個人を特定できる状態になっていないかを検証する。「消したつもり」の穴を塞ぐ。


「習慣化」ではなく「システム化」

最初、このスキルのゴールを「コンプライアンスを習慣化する」と表現していた。しかし、作ってみてわかったことがある。

習慣化とシステム化は、根本的に違う。

習慣化は個人に依存する。その人が意識していれば機能するが、忙しくなれば乱れ、メンバーが替われば伝わらない。

**システム化は構造に依存する。**個人の意識に関係なく、プロセスの中に検問が埋め込まれる。

Claude Codeのスキルとして実装する最大の意義は、ここにある。「やらなければいけない」という意識を持ち続けなくても、スキルを呼ぶという行為そのものが、チェックを完了させる

プロセスが人を守る。それが本物のコンプライアンスだと思っている。


実際に使ってみて変わったこと

スキルを導入してから、クライアントデータを扱うときの最初の動作が変わった。

以前は「ファイルを開く → データを見る → 何かする」だった。

今は「ファイルを開く → /client-privacy-guard を呼ぶ → 処理結果を確認してから次に進む」だ。

作業の流れに一手間加わったように見えるが、実感は逆だ。「これを通したから大丈夫」という確信を持って次のステップに進める。自信を持って仕事ができるようになった、という感覚が近い。

以前のような「なんとなく大丈夫だろう」という曖昧さが消えた。


一人でも、チームでも使える

スキルはGitHubで公開している。

https://github.com/daichitsuchiya39-creator/client-privacy-guard

Claude Code のカスタムスキルとして追加すれば、個人でもチームでも同じ検問フローを共有できる。チームに展開するときも、「このスキルを通してください」というルール一本で運用できるのは、ドキュメントによる啓発より確実だ。


問い

コンプライアンスをどこで守るか、という問いは、実は「誰が守るか」という問いでもある。

個人の意識に委ねるなら、それは人が守っている。制度やチェックリストに委ねるなら、それは文書が守っている。プロセスの構造に埋め込むなら、それは仕組みが守っている。

どれが一番壊れにくいか——答えは出ているが、多くの職場ではまだ個人の意識に頼っている。

今日届いた「ちょっと分析して」の依頼。そのファイルを開く前に、一度立ち止まってみてほしい。

Share:
View all posts