jpskill.com
📦 その他 コミュニティ

compliance-auditor

SOC2やHIPAA、GDPRなど、業界ごとの規制遵守フレームワークに特化した監査を行うSkill。

📜 元の英語説明(参考)

Specialized auditor for SOC2, HIPAA, GDPR, and regulatory compliance frameworks across industries

🇯🇵 日本人クリエイター向け解説

一言でいうと

SOC2やHIPAA、GDPRなど、業界ごとの規制遵守フレームワークに特化した監査を行うSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o compliance-auditor.zip https://jpskill.com/download/6631.zip && unzip -o compliance-auditor.zip && rm compliance-auditor.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6631.zip -OutFile "$d\compliance-auditor.zip"; Expand-Archive "$d\compliance-auditor.zip" -DestinationPath $d -Force; ri "$d\compliance-auditor.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して compliance-auditor.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → compliance-auditor フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

コンプライアンス監査スキル

目的

SOC2、HIPAA、GDPR、および業界固有のコンプライアンスフレームワークに特化した規制コンプライアンス監査の専門知識を提供します。組織が規制要件とセキュリティ基準を満たしていることを確認するために、ギャップ分析、証拠収集、コントロール評価、および是正ガイダンスを実施します。

使用場面

  • SOC 2 Type I & II 監査の実施
  • ヘルスケアシステムの HIPAA コンプライアンスの確保
  • GDPR データプライバシー要件の実装
  • PCI DSS 評価の準備
  • コンプライアンス要件と組織コントロールのマッピング
  • ギャップ分析と是正計画の実行

概要

規制コンプライアンス監査の専門家であり、SOC2、HIPAA、GDPR、および業界固有のコンプライアンスフレームワークに特化し、ギャップ分析と是正ガイダンスを提供します。

コンプライアンスフレームワーク

財務およびビジネスコンプライアンス

  • SOC 2 Type I & II - サービス組織コントロール報告
  • SOX - サルベンス・オクスリー法コンプライアンス
  • PCI DSS - 決済カード業界データセキュリティ基準
  • GLBA - グラム・リーチ・ブライリー法

ヘルスケアコンプライアンス

  • HIPAA - 医療保険の相互運用性と説明責任に関する法律
  • HITECH - 医療情報技術のための経済的および臨床的健康
  • HITECH - オムニバス規則の規定
  • 21 CFR Part 11 - 電子署名および記録

データプライバシーと保護

  • GDPR - 一般データ保護規則 (EU)
  • CCPA/CPRA - カリフォルニア州消費者プライバシー法/プライバシー権法
  • PIPEDA - 個人情報保護および電子文書法
  • LGPD - ブラジル一般データ保護法

業界固有の標準

  • ISO 27001 - 情報セキュリティマネジメント
  • ISO 27701 - プライバシー情報マネジメント
  • NIST Cybersecurity Framework - 重要インフラ
  • CMMC - サイバーセキュリティ成熟度モデル認証

主要な監査能力

証拠収集と分析

# コンプライアンス証拠の例パターン
grep -r "audit" config/ --include="*.json" --include="*.yml" --include="*.properties"
grep -r "access" policies/ --include="*.md" --include="*.txt" --include="*.doc"
grep -r "retention" procedures/ --include="*.md" --include="*.pdf"

コントロール評価

  • 設計有効性評価
  • 運用有効性テスト
  • コントロールギャップの特定
  • 是正タイムラインの策定
  • 継続的モニタリングの実装

文書レビュー

  • ポリシーと手順の分析
  • 証拠収集の検証
  • リスク評価方法論のレビュー
  • インシデント対応文書
  • サードパーティ評価レポート

監査方法論

計画とスコープ設定

  • コンプライアンス要件のマッピング
  • リスクベースアプローチの開発
  • サンプリング方法論の設計
  • ステークホルダーインタビュー
  • 文書要求

フィールドワークの実行

  • コントロールテスト手順
  • 証拠収集プロトコル
  • プロセスウォークスルー
  • システム構成レビュー
  • スタッフ能力検証

報告と所見

  • ギャップ分析文書
  • リスク評価の割り当て
  • 是正勧告
  • 実装ロードマップ
  • エグゼクティブサマリーの作成

特定のコンプライアンス領域

SOC 2 トラストサービス基準

  • セキュリティ - 不正アクセスからのシステム保護
  • 可用性 - 運用および使用のためのシステム可用性
  • 処理の完全性 - システム処理の完全性と正確性
  • 機密性 - 不正開示からの情報保護
  • プライバシー - 個人情報の収集と使用のコントロール

HIPAA 管理上の保護措置

  • セキュリティ責任者の指定
  • 従業員のセキュリティ手順
  • 情報アクセス管理
  • セキュリティ意識向上とトレーニング
  • セキュリティインシデント手順

GDPR データ保護要件

  • 処理の適法性
  • 目的制限の原則
  • データ最小化の実践
  • 正確性維持の手順
  • 保存期間制限の実装

監査シナリオ

クラウドサービスプロバイダー評価

  • AWS/Azure/GCP セキュリティ構成
  • マルチテナンシー分離コントロール
  • データ暗号化の検証
  • サービスプロバイダーのデューデリジェンス
  • サブプロセッサー管理

ソフトウェア開発ライフサイクル

  • セキュアコーディングの実践
  • 変更管理手順
  • コードレビュープロセス
  • セキュリティテストの統合
  • DevSecOps パイプラインコンプライアンス

サードパーティリスク管理

  • ベンダー評価手順
  • 契約コンプライアンスの検証
  • サービスレベルアグリーメントの監視
  • データ処理契約のレビュー
  • サプライチェーンセキュリティの検証

成果物

コンプライアンスレポート

  • 包括的な監査所見
  • 是正計画を含むギャップ分析
  • コントロール有効性評価
  • リスク軽減戦略
  • コンプライアンスダッシュボードの開発

スキル固有のスクリプトと参照

利用可能なコンプライアンス監査スクリプト

scripts/ ディレクトリにあります。

  • check_gdpr.py - GDPR コンプライアンスチェック(データ最小化、同意、消去権)
  • validate_hipaa.py - HIPAA 検証(PHI 保護、監査コントロール)
  • collect_soc2_evidence.py - SOC 2 証拠収集(セキュリティ、可用性、処理の完全性、機密性、プライバシー)
  • scan_pci_dss.py - PCI DSS スキャン(カード会員データ、暗号化標準)
  • validate_nist.py - NIST コントロール検証(CSF、SP 800-53)
  • assess_iso27001.py - ISO 27001 評価(ISMS コントロール)
  • generate_report.py - コンプライアンスレポート生成

利用可能なコンプライアンス監査参照

references/ ディレクトリにあります。

  • gdpr_requirements.md - GDPR 要件とコンプライアンスチェック
  • hipaa_guidelines.md - HIPAA ガイドラインとコントロール
  • soc2_controls.md - SOC 2 Type 2 審査基準とコントロール
  • pci_dss_standard.md - PCI DSS v4.0 要件とコンプライアンスチェックリスト
  • nist_controls.md - NIST サイバーセキュリティフレームワークと SP 800-53 コントロール
  • iso27001_mapping.md - ISO 27001 コントロールマッピングと実装ガイダンス

スクリプト使用例

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Compliance Auditor Skill

Purpose

Provides regulatory compliance auditing expertise specializing in SOC2, HIPAA, GDPR, and industry-specific compliance frameworks. Conducts gap analysis, evidence collection, control assessments, and remediation guidance to ensure organizations meet regulatory requirements and security standards.

When to Use

  • Conducting SOC 2 Type I & II audits
  • Ensuring HIPAA compliance for healthcare systems
  • Implementing GDPR data privacy requirements
  • Preparing for PCI DSS assessments
  • Mapping compliance requirements to organizational controls
  • Performing gap analysis and remediation planning

Overview

Expert in regulatory compliance auditing, specializing in SOC2, HIPAA, GDPR, and industry-specific compliance frameworks with gap analysis and remediation guidance.

Compliance Frameworks

Financial & Business Compliance

  • SOC 2 Type I & II - Service Organization Control reporting
  • SOX - Sarbanes-Oxley Act compliance
  • PCI DSS - Payment Card Industry Data Security Standard
  • GLBA - Gramm-Leach-Bliley Act

Healthcare Compliance

  • HIPAA - Health Insurance Portability and Accountability Act
  • HITECH - Health Information Technology for Economic and Clinical Health
  • HITECH - Omnibus Rule provisions
  • 21 CFR Part 11 - Electronic signatures and records

Data Privacy & Protection

  • GDPR - General Data Protection Regulation (EU)
  • CCPA/CPRA - California Consumer Privacy Act/Privacy Rights Act
  • PIPEDA - Personal Information Protection and Electronic Documents Act
  • LGPD - Lei Geral de Proteção de Dados (Brazil)

Industry-Specific Standards

  • ISO 27001 - Information Security Management
  • ISO 27701 - Privacy Information Management
  • NIST Cybersecurity Framework - Critical infrastructure
  • CMMC - Cybersecurity Maturity Model Certification

Core Audit Competencies

Evidence Collection & Analysis

# Example patterns for compliance evidence
grep -r "audit" config/ --include="*.json" --include="*.yml" --include="*.properties"
grep -r "access" policies/ --include="*.md" --include="*.txt" --include="*.doc"
grep -r "retention" procedures/ --include="*.md" --include="*.pdf"

Control Assessment

  • Design effectiveness evaluation
  • Operating effectiveness testing
  • Control gap identification
  • Remediation timeline development
  • Continuous monitoring implementation

Documentation Review

  • Policy and procedure analysis
  • Evidence collection validation
  • Risk assessment methodology review
  • Incident response documentation
  • Third-party assessment reports

Audit Methodology

Planning & Scoping

  • Compliance requirement mapping
  • Risk-based approach development
  • Sampling methodology design
  • Stakeholder interviews
  • Documentation requests

Fieldwork Execution

  • Control testing procedures
  • Evidence collection protocols
  • Process walk-throughs
  • System configuration reviews
  • Staff competency validation

Reporting & Findings

  • Gap analysis documentation
  • Risk rating assignments
  • Remediation recommendations
  • Implementation roadmaps
  • Executive summary preparation

Specific Compliance Areas

SOC 2 Trust Services Criteria

  • Security - System protection against unauthorized access
  • Availability - System availability for operation and use
  • Processing Integrity - System processing completeness and accuracy
  • Confidentiality - Information protection from unauthorized disclosure
  • Privacy - Personal information collection and use controls

HIPAA Administrative Safeguards

  • Security officer designation
  • Workforce security procedures
  • Information access management
  • Security awareness and training
  • Security incident procedures

GDPR Data Protection Requirements

  • Lawfulness of processing
  • Purpose limitation principles
  • Data minimization practices
  • Accuracy maintenance procedures
  • Storage limitation implementations

Audit Scenarios

Cloud Service Provider Assessment

  • AWS/Azure/GCP security configurations
  • Multi-tenancy isolation controls
  • Data encryption verification
  • Service provider due diligence
  • Subprocessor management

Software Development Lifecycle

  • Secure coding practices
  • Change management procedures
  • Code review processes
  • Security testing integration
  • DevSecOps pipeline compliance

Third-Party Risk Management

  • Vendor assessment procedures
  • Contract compliance verification
  • Service level agreement monitoring
  • Data processing agreement review
  • Supply chain security validation

Deliverables

Compliance Reports

  • Comprehensive audit findings
  • Gap analysis with remediation plans
  • Control effectiveness ratings
  • Risk mitigation strategies
  • Compliance dashboard development

Skill-Specific Scripts and References

Available Compliance Auditor Scripts

Located in scripts/ directory:

  • check_gdpr.py - GDPR compliance checking (data minimization, consent, right to erasure)
  • validate_hipaa.py - HIPAA validation (PHI protection, audit controls)
  • collect_soc2_evidence.py - SOC 2 evidence collection (Security, Availability, Processing Integrity, Confidentiality, Privacy)
  • scan_pci_dss.py - PCI DSS scanning (cardholder data, encryption standards)
  • validate_nist.py - NIST controls validation (CSF, SP 800-53)
  • assess_iso27001.py - ISO 27001 assessment (ISMS controls)
  • generate_report.py - Compliance report generation

Available Compliance Auditor References

Located in references/ directory:

  • gdpr_requirements.md - GDPR requirements and compliance checks
  • hipaa_guidelines.md - HIPAA guidelines and controls
  • soc2_controls.md - SOC 2 Type 2 examination criteria and controls
  • pci_dss_standard.md - PCI DSS v4.0 requirements and compliance checklist
  • nist_controls.md - NIST Cybersecurity Framework and SP 800-53 controls
  • iso27001_mapping.md - ISO 27001 control mapping and implementation guidance

Script Usage Examples

# GDPR compliance check
python3 scripts/check_gdpr.py . --config config/compliance.yaml --output gdpr_report.json

# HIPAA validation
python3 scripts/validate_hipaa.py . --format text

# SOC 2 evidence collection
python3 scripts/collect_soc2_evidence.py . --framework SOC2_Type2 --output soc2_evidence/

# PCI DSS scanning
python3 scripts/scan_pci_dss.py . --scan_level full

# NIST controls validation
python3 scripts/validate_nist.py . --framework CSF

# ISO 27001 assessment
python3 scripts/assess_iso27001.py . --controls annex_a --output iso_report.md

# Generate compliance report
python3 scripts/generate_report.py --evidence evidence/ --compliance SOC2 --output compliance_report.md

Configuration Files

Create config/compliance.yaml for script configuration:

compliance_auditing:
  audit_scope: '.'
  frameworks: ['SOC2', 'GDPR', 'HIPAA', 'PCI_DSS', 'ISO27001', 'NIST']

  check_gdpr:
    data_minimization: true
    consent_management: true
    right_to_erasure: true
    data_portability: true

  validate_hipaa:
    phi_protection: true
    audit_controls: true
    administrative_safeguards: true
    physical_safeguards: true
    technical_safeguards: true

  collect_soc2_evidence:
    trust_services_criteria: ['security', 'availability', 'processing_integrity', 'confidentiality', 'privacy']
    common_criteria: true

  scan_pci_dss:
    scan_level: 'full'
    cardholder_data_scope: true
    encryption_standards: true

  validate_nist:
    framework: 'CSF'
    control_baselines: ['low', 'moderate', 'high']

  assess_iso27001:
    controls: 'annex_a'
    isms_controls: true

  generate_report:
    report_format: 'markdown'
    include_recommendations: true
    include_roadmap: true

Policy & Procedure Templates

  • Security policy frameworks
  • Incident response procedures
  • Data classification guidelines
  • Access management policies
  • Business continuity plans

Training Materials

  • Compliance awareness programs
  • Role-specific security training
  • Incident response tabletop exercises
  • Privacy best practices guides
  • Regulatory change management

Continuous Compliance

  • Automated compliance monitoring
  • Regulatory change tracking
  • Control effectiveness testing
  • Risk assessment updates
  • Compliance management systems integration

Industry Expertise

  • Healthcare providers and payers
  • Financial services institutions
  • SaaS and technology companies
  • Government contractors
  • Educational institutions

Examples

Example 1: SOC 2 Type II Preparation for SaaS Startup

Scenario: A growing SaaS company preparing for their first SOC 2 Type II audit needs to implement controls and collect evidence for the Security and Availability trust services criteria.

Audit Preparation Approach:

  1. Gap Analysis: Compared current practices against SOC 2 trust services criteria
  2. Control Implementation: Deployed access management, encryption, and monitoring controls
  3. Evidence Collection: Automated collection of logs, configurations, and access reviews
  4. Remediation: Addressed 23 gaps identified in initial assessment

Key Controls Implemented:

  • Multi-factor authentication for all system access
  • Automated log retention and security monitoring
  • Encrypted data at rest and in transit (TLS 1.3, AES-256)
  • Incident response procedures with documented evidence
  • Vendor management program with security assessments

Audit Result: Passed with 2 minor observations (no material findings)

Example 2: HIPAA Compliance for Healthcare Application

Scenario: A healthcare technology company needs to ensure their patient portal meets HIPAA requirements for PHI protection.

Compliance Assessment:

  1. PHI Inventory: Mapped all locations where PHI is stored, processed, or transmitted
  2. Technical Controls: Evaluated encryption, access controls, and audit logging
  3. Administrative Safeguards: Reviewed policies, procedures, and workforce training
  4. Business Associate Agreements: Audited all third-party relationships

Critical Findings and Remediation:

  • Unencrypted database backups → Implemented TDE and encrypted backup storage
  • Excessive user access → Deployed role-based access control (RBAC)
  • Missing audit logs → Integrated CloudTrail and database audit logging
  • Outdated BAA with vendor → Negotiated updated BAA with current requirements

Outcome: Achieved full HIPAA compliance within 90 days

Example 3: GDPR Data Privacy Implementation

Scenario: An e-commerce company expanding to EU markets needs to implement GDPR compliance for customer data processing.

Privacy Implementation:

  1. Data Mapping: Documented all personal data flows across the organization
  2. Consent Management: Implemented cookie consent and preference management
  3. Data Subject Rights: Built automated processes for access, deletion, and portability requests
  4. Data Retention: Defined and implemented retention schedules

Implementation Components:

  • Privacy-by-design architecture review
  • Consent management platform integration
  • Data subject request (DSR) automation workflow
  • International data transfer mechanisms (Standard Contractual Clauses)
  • Privacy impact assessment (PIA) process

Measurable Outcomes:

  • Consent capture rate: 98% (up from 45%)
  • DSR response time: 5 days average (regulatory requirement: 30 days)
  • Data breach notification process tested quarterly
  • Privacy training completion: 100% of employees

Best Practices

Audit Preparation

  • Start Early: Begin compliance efforts 6-12 months before audit
  • Gap Analysis First: Understand where you stand before planning remediation
  • Phased Approach: Address highest-risk gaps first
  • Evidence Automation: Collect evidence continuously, not just before audit
  • Management Buy-In: Ensure leadership understands compliance requirements

Control Framework

  • Risk-Based Controls: Implement controls based on risk assessment findings
  • Defense in Depth: Multiple layers of controls for critical areas
  • Least Privilege: Grant minimum access required for each role
  • Change Management: Document and review all control changes
  • Continuous Monitoring: Implement automated control effectiveness testing

Documentation Excellence

  • Clear Policies: Write policies that are understandable and actionable
  • Procedure Documentation: Detail how policies are implemented operationally
  • Evidence Artifacts: Maintain comprehensive evidence of control operation
  • Traceability: Link controls to requirements and risks
  • Version Control: Track policy changes over time

Third-Party Management

  • Due Diligence: Assess security posture before engagement
  • Contract Requirements: Include security requirements in contracts
  • Ongoing Monitoring: Reassess vendors periodically
  • Incident Coordination: Establish breach notification procedures
  • Exit Planning: Define data handling at relationship end

Regulatory Updates

  • Track Changes: Monitor regulatory developments in your industry
  • Impact Assessment: Evaluate how changes affect current compliance
  • Proactive Adaptation: Update controls before enforcement deadlines
  • Industry Collaboration: Participate in industry compliance groups
  • Expert Consultation: Engage specialists for complex requirements

Anti-Patterns

Audit Process Anti-Patterns

  • Checkbox Compliance: Treating compliance as a form-filling exercise - focus on actual security outcomes
  • Point-in-Time Snapshots: Assessing controls only at audit time - implement continuous compliance monitoring
  • Evidence Fabrication: Creating evidence rather than demonstrating real controls - build genuine compliance programs
  • Scope Shrinking: Minimizing audit scope to reduce findings - address root causes instead of hiding problems

Control Implementation Anti-Patterns

  • Paper Controls: Policies that exist only in documentation - implement technical enforcement mechanisms
  • Over-Complex Controls: Controls so complex they cannot be operationalized - balance security with operability
  • Control Redundancy: Implementing overlapping controls without coordination - map and rationalize control portfolio
  • Control Gaps: Leaving security domains uncovered - maintain comprehensive control coverage

Evidence Collection Anti-Patterns

  • Last Minute Rush: Collecting evidence only when auditors arrive - automate continuous evidence collection
  • Incomplete Evidence: Providing partial evidence that raises more questions - ensure comprehensive documentation
  • Outdated Evidence: Using evidence from outdated systems or processes - maintain current evidence artifacts
  • Inaccessible Evidence: Evidence that cannot be located or produced - organize and index evidence systematically

Remediation Anti-Patterns

  • Temporary Fixes: Applying bandages instead of solving root causes - implement permanent solutions
  • Finding Chasing: Prioritizing based on audit severity rather than risk - assess actual risk impact
  • Remediation Debt: Accumulating findings without resolution - maintain remediation backlog with timelines
  • Siloed Remediation: Fixing findings in isolation without systemic improvement - identify patterns and prevent recurrence