jpskill.com
✍️ ライティング コミュニティ

gdpr-audit-prep

/cs:gdpr-audit-prep <scope> — GDPR audit 6-question Article-cited forcing interrogation. Use before annual internal GDPR review, post-breach internal audit, DPA investigation readiness, or acquisition due diligence.

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o gdpr-audit-prep.zip https://jpskill.com/download/21755.zip && unzip -o gdpr-audit-prep.zip && rm gdpr-audit-prep.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/21755.zip -OutFile "$d\gdpr-audit-prep.zip"; Expand-Archive "$d\gdpr-audit-prep.zip" -DestinationPath $d -Force; ri "$d\gdpr-audit-prep.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して gdpr-audit-prep.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → gdpr-audit-prep フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] gdpr-audit-prep

/cs:gdpr-audit-prep — GDPR DPO 強制質問

コマンド: /cs:gdpr-audit-prep <scope>

GDPR DPO監査人は、プライバシーコンプライアンス作業を厳しく評価します。内部監査、侵害対応、DPA調査、または買収デューデリジェンスの前に、6つの条項に引用された質問を行います。

実行時期

  • 年次内部GDPR監査の前
  • 四半期ごとのArticle 30 RoPA更新の前
  • 新しい高リスク処理を開始する前(Article 35 DPIAが必要)
  • 侵害後(Articles 33-34)
  • DPA調査対応または監督当局との連携の前
  • 買収デューデリジェンス中(対象会社のプライバシー態勢)
  • 大量の新機能出荷中の四半期ごと

6つのDPO質問

1. Article 30 RoPAを最終更新日とともに提示してください。

最も多く指摘される領域です。

  • 管理者については、Article 30(1)(a)-(g)のすべての要素を含める必要があります。
  • 処理者については、Article 30(2)(a)-(d)のすべての要素を含める必要があります。
  • 変更後、合理的な期間内(90日以内が目安)に更新されていること。
  • Article 26に従って共同管理者間の取り決めが文書化されていること。

2. この処理活動について、Article 6に基づく適法な根拠は何ですか?

Article 6は排他的です — 目的ごとに1つの根拠を選択してください。

  • 6つの選択肢:同意 / 契約 / 法的義務 / 重大な利益 / 公共の利益 / 正当な利益
  • 「正当な利益」の場合:LIAが文書化されていること。
  • 「同意」の場合:Article 7に基づく記録;撤回メカニズムがあること。
  • 特別なカテゴリー(Article 9)には、Article 9(2)の例外が必要です。

3. 高リスク処理について、Article 35に基づくDPIAはどこにありますか?

高リスクの場合に必要です;3〜5の活動をサンプルとしてください。

  • Article 35(7)(a)-(d)の必須要素:
    • 処理の体系的な説明
    • 必要性および比例性の評価
    • 権利と自由へのリスク
    • リスクに対処するための措置
  • Article 35(2)に従ってDPOが協議されていること。
  • 残存する高リスクに対してArticle 36の事前協議がトリガーされていること。
  • AIシステムの場合:EU AI Act Article 27 FRIAと統合されていること(cs-ai-act-complianceと相互確認)。

4. 過去30日間のDSARと、その対応時期を提示してください。

Articles 15-22の運用ワークフローです。

  • 1ヶ月以内に対応(Article 12(3));複雑な要求の場合は最大2ヶ月の延長が可能。
  • 本人確認プロセスが文書化されていること。
  • アクセス権の回答には、Article 15のすべての情報が含まれていること。
  • 消去権(Article 17)のワークフローがバックアップと処理者をカバーしていること。

5. 最大規模の非EU圏への移転に関する移転影響評価(TIA)を提示してください。

Schrems IIの規律です。

  • 十分性認定またはSCCs(Article 46)または例外(Article 49)
  • EDPB勧告01/2020 + 02/2020に基づくTIA
  • TIAがリスクを指摘した場合の補完的措置
  • 米国への移転はEU-USデータプライバシーフレームワークの十分性認定(2023年7月)でカバーされていること — 認定された事業体のリストを確認してください。

6. Article 33(5)に基づく侵害ログを提示してください — 通知義務のあるものだけでなく、すべての侵害です。

Article 33(5)はすべての侵害のログ記録を義務付けています。

  • 内部侵害検出メカニズムが文書化されていること。
  • Article 33 DPA通知が72時間以内に行われていること(必要な場合)。
  • Article 34データ主体通知(高リスクの場合)。
  • CAPAシステムによる根本原因と是正措置。
  • A.5.24-27インシデント管理の整合性をcs-ciso-iso27001と相互確認してください。

ワークフロー

# 1. コンプライアンス態勢
python ../../ra-qm-team/skills/gdpr-dsgvo-expert/scripts/gdpr_compliance_checker.py compliance_state.json

# 2. 高リスク活動のためのDPIA
python ../../ra-qm-team/skills/gdpr-dsgvo-expert/scripts/dpia_generator.py processing_activity.json

# 3. DSARワークフローの検証
python ../../ra-qm-team/skills/gdpr-dsgvo-expert/scripts/data_subject_rights_tracker.py dsar_log.json

# 4. ISO 27001 + SOC 2 + ISO 42001とのクロスフレームワーク再利用
python ../../skills/compliance-os/scripts/cross_framework_mapper.py program.json

出力形式

# GDPR監査準備: <scope>
**日付:** YYYY-MM-DD
**条項引用:** すべての指摘は条項と段落を引用します;言い換えはありません。

## 下される決定
[RoPA-refresh | DPIA-required | DSAR-workflow | transfer-risk | breach-followup | DPA-readiness]

## Article 30 RoPAステータス
- 最終更新日: YYYY-MM-DD
- 必須要素の有無: 処理活動ごとにyes/no
- 共同管理者間の取り決め: documented/missing

## Article 6 適法な根拠の規律
- レビューされた活動数: N
- LIAなしの正当な利益の主張: <list>
- 文書化された例外のあるArticle 9特別カテゴリー: yes/no

## Article 35 DPIAの品質
- DPIAを必要とする高リスク活動: <list>
- Article 35(7)に基づくDPIAの完了状況: 活動ごとにpass/fail
- Article 36の事前協議がトリガーされたか: <list>

## データ主体の権利 (Articles 12-22)
- 過去90日間のDSAR数: N
- 平均応答時間: X日 (目標: ≤ 30)
- 消去権のバックアップ-処理者フロー: complete/incomplete

## Article 28 処理者管理
- レビューされた処理者数: N
- Article 28(3)(a)-(j)のすべての条項を含む契約: % complete
- 副処理者へのフローダウン通知メカニズム: yes/no

## Schrems II 移転ステータス
- 非EU圏への移転: <list>
- 移転ごとのメカニズム: adequacy / SCCs / derogation
- TIAの有無: 移転ごとにyes/no
- 必要な場合の補完的措置: <list>

## Article 33-34 侵害規律
- 過去12ヶ月間の侵害ログ数: N
- Article 33通知のタイミング: ≤ 72h比率
- Article 34データ主体通知(高リスクの場合): on-time比率

## クロスフレームワークへの影響
- ISO 27001 Article 32との整合性: clean / gaps
- EU AI Act Article 27 FRIAとの統合: applicable / not
- SOC 2 Privacy TSCとの整合性(スコープの場合): clean / gaps

## 評価
🟢 DPA-READY | 🟡 GAPS-IDENTIFIED | 🔴 NOT-READY

## 上位3つのアクション
[所有者と条項に引用されたタイムラインを含む3つの具体的な次のステップ]

## 外部弁護士の要否
[条項レベルの曖昧さが指摘された場合: Schrems II補完的措置の妥当性、EU AI Act ↔ GDPRの相互作用、分野別例外の解釈、新規DPA執行]

ルーティング

  • /cs:compliance-readiness — マルチフレームワークビューの場合
  • /cs:iso27001-audit-prep — Article 32の組織的措置の場合
  • /cs:ai-act-readiness — EU AI Act Article 27 FRIA統合の場合
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

/cs:gdpr-audit-prep — GDPR DPO Forcing Questions

Command: /cs:gdpr-audit-prep <scope>

The GDPR DPO auditor pressure-tests any privacy compliance work. Six Article-cited questions before any internal audit, breach response, DPA investigation, or acquisition due diligence.

When to Run

  • Before annual internal GDPR audit
  • Before quarterly Article 30 RoPA refresh
  • Before launching new high-risk processing (Article 35 DPIA required)
  • Post-breach (Articles 33-34)
  • Before DPA investigation response or supervisory authority engagement
  • During acquisition due diligence (target company privacy posture)
  • Quarterly during high-volume new-feature shipping

The Six DPO Questions

1. Show me the Article 30 RoPA — with last-updated date.

Most-cited finding area.

  • Must include all Article 30(1)(a)-(g) elements for controllers
  • Must include all Article 30(2)(a)-(d) elements for processors
  • Updated within reasonable time of changes (90 days expected)
  • Joint controller arrangements documented per Article 26

2. For this processing activity, what's the lawful basis under Article 6?

Article 6 is exclusive — pick ONE basis per purpose.

  • Six options: consent / contract / legal obligation / vital interests / public task / legitimate interests
  • Where "legitimate interests": LIA documented
  • Where "consent": records per Article 7; withdrawal mechanism
  • Special categories (Article 9) require an Article 9(2) exception

3. For high-risk processing, where's the DPIA per Article 35?

Required for high-risk; sample 3-5 activities.

  • Article 35(7)(a)-(d) required elements:
    • Systematic description of processing
    • Necessity + proportionality assessment
    • Risks to rights + freedoms
    • Measures to address risks
  • DPO consulted per Article 35(2)
  • Article 36 prior consultation triggered for residual high risk
  • For AI systems: integrates with EU AI Act Article 27 FRIA (cross-check with cs-ai-act-compliance)

4. Show me a DSAR from the last 30 days — and the response timing.

Articles 15-22 operational workflow.

  • Response within 1 month (Article 12(3)); extension up to 2 months for complex requests
  • Identity verification process documented
  • Right of access response includes all Article 15 information
  • Right to erasure (Article 17) workflow covers backups + processors

5. Show me Transfer Impact Assessments for the largest non-EU transfers.

Schrems II discipline.

  • Adequacy decision OR SCCs (Article 46) OR derogation (Article 49)
  • TIA per EDPB Recommendations 01/2020 + 02/2020
  • Supplementary measures where TIA flagged risk
  • US transfers covered by EU-US Data Privacy Framework adequacy (Jul 2023) — verify list of certified entities

6. Show me the breach log per Article 33(5) — all breaches, not just notifiable ones.

Article 33(5) requires logging ALL breaches.

  • Internal breach detection mechanism documented
  • Article 33 DPA notification within 72 hours (where required)
  • Article 34 data subject notification (where high risk)
  • Root cause + corrective action via CAPA system
  • Cross-check with cs-ciso-iso27001 for A.5.24-27 incident management alignment

Workflow

# 1. Compliance posture
python ../../ra-qm-team/skills/gdpr-dsgvo-expert/scripts/gdpr_compliance_checker.py compliance_state.json

# 2. DPIA for high-risk activities
python ../../ra-qm-team/skills/gdpr-dsgvo-expert/scripts/dpia_generator.py processing_activity.json

# 3. DSAR workflow validation
python ../../ra-qm-team/skills/gdpr-dsgvo-expert/scripts/data_subject_rights_tracker.py dsar_log.json

# 4. Cross-framework reuse with ISO 27001 + SOC 2 + ISO 42001
python ../../skills/compliance-os/scripts/cross_framework_mapper.py program.json

Output Format

# GDPR Audit Prep: <scope>
**Date:** YYYY-MM-DD
**Article Citations:** Every finding cites Article + paragraph; no paraphrase.

## The Decision Being Made
[RoPA-refresh | DPIA-required | DSAR-workflow | transfer-risk | breach-followup | DPA-readiness]

## Article 30 RoPA Status
- Last refresh: YYYY-MM-DD
- Required elements present: yes/no per processing activity
- Joint controller arrangements: documented/missing

## Article 6 Lawful Basis Discipline
- Activities reviewed: N
- Legitimate-interests claims without LIA: <list>
- Article 9 special categories with documented exception: yes/no

## Article 35 DPIA Quality
- High-risk activities requiring DPIA: <list>
- DPIAs complete per Article 35(7): pass/fail per activity
- Article 36 prior consultation triggered: <list>

## Data Subject Rights (Articles 12-22)
- DSARs in last 90 days: N
- Average response time: X days (target: ≤ 30)
- Right to erasure backup-processor flow: complete/incomplete

## Article 28 Processor Management
- Processors reviewed: N
- Contracts with all Article 28(3)(a)-(j) clauses: % complete
- Sub-processor flow-down notification mechanism: yes/no

## Schrems II Transfer Status
- Non-EU transfers: <list>
- Mechanism per transfer: adequacy / SCCs / derogation
- TIA on file: yes/no per transfer
- Supplementary measures where needed: <list>

## Article 33-34 Breach Discipline
- Breach log last 12 months: N
- Article 33 notification timing: ≤ 72h ratio
- Article 34 data subject notification (where high risk): on-time ratio

## Cross-Framework Impact
- ISO 27001 Article 32 alignment: clean / gaps
- EU AI Act Article 27 FRIA integration: applicable / not
- SOC 2 Privacy TSC alignment (if scope): clean / gaps

## Verdict
🟢 DPA-READY | 🟡 GAPS-IDENTIFIED | 🔴 NOT-READY

## Top 3 Actions
[3 concrete next steps with owner + Article-cited timeline]

## Outside Counsel Required
[Article-level ambiguities flagged: Schrems II supplementary measure adequacy, EU AI Act ↔ GDPR interaction, sectoral derogation interpretation, novel DPA enforcement]

Routing

  • /cs:compliance-readiness — for multi-framework view
  • /cs:iso27001-audit-prep — for Article 32 organizational measures
  • /cs:ai-act-readiness — for EU AI Act Article 27 FRIA integration
  • /cs:soc2-audit-prep — for SOC 2 Privacy TSC overlap
  • /cs:gc-review — for novel-case legal review

Related

Version: 1.0.0