Claude Code に日本向けサービスを作らせるなら、個情法の要件を .claude/rules/ に置く

ユーザー情報を扱う API、利用規約、広告コピー、ログイン処理、決済、投稿の通報フローなど…

Claude は何も言わずに書き上げてくる。なんか、最近これが怖い

Claude Code ブームで一番怖いのが、簡単に作って事故ることかなあと

先に断っとくと、これから書く .claude/rules/ の運用は法務レビューの代わりにはならない。まぁ、考え方みたいなもんね

論点の見落としを減らそうぜ、ってレベルの話だから、最終的な判断は法務担当や個人情報取扱責任者に通すのが前提ね（個別具体的な法律判断は弁護士にご相談ください）

ちなみに、URL の中身を確実に参照させたいなら、「取りに行け」という明示的な指示をルールに書いておく必要がある

X で毎日 Claude Code 情報を配信してるコムテです

.claude/rules/ に法律のファイルを揃える

狙いはこのあたり

つまり Claude が「日本の法律の論点に気付いたコード」を書きやすくなる、ってのが期待値ですね

セキュリティ対策だけじゃなくてリーガル対策も必要よね、という話

プロンプトの組み方やモデルバージョン次第で精度はぶれるけど、論点の見落としは減るかも

モデルの一般知識だけに依存すると、日本法の現行条文・最新改正・所管ガイドラインを踏まえない出力が混じる

最近の Claude Code のモデルは、そんな傾向が多そうなんよね

GDPR や CCPA まわりは比較的厚いけど、日本の個別法は薄い体感

推測だけど、生成 AI 特有の落とし穴として、個人情報保護委員会が2023年6月2日に出した「生成 AI サービスの利用に関する注意喚起等について」を Claude は知らないまま書いてそう

だから自分で文脈を流し込む必要があると思った

.claude/rules/ 配下に法律ごとのファイルを置く

イメージはこんな感じ

個情法用のファイル例

動かしてみると、app/ 配下のファイルを Read した瞬間に appi.md が発火して、WebFetch で個情委のガイドラインページを取りに行く動作が確認できる

リンク先を読んでくれないので、ドキュメントを md ファイルにして直接置くか、
リンクの中身を読みにいかせる工夫が必要

そのあたりは、よしなにやってちょうだいね

あと、frontmatter のキーは paths: を使う（Cursor の globs: とは別物）。値は YAML 配列で書く

paths: を指定したルールは、Claude が一致するファイルを読むときだけ条件付きで読み込まれる。指定なしのルールは起動時に常時読み込まれるから、コンテキスト消費の調整にも使える

フィールド名が違うと黙ってスコープが効かないから、書いたあとは /memory で実際にコンテキストに載ってるか確認しといた方がいいね

ポイントは本文の薄さ。詳細な解釈は個情委ガイドラインや e-Gov の条文に任せて、ルールファイルは「論点に気付くためのチェックリスト」に振り切る

.claude/rules/ は AI コンテキスト辞書として運用する。本文を分厚く書くとコンテキスト消費が膨らむから、観点リストと一次情報リンクに絞るのがコツ

ここまで書いてきたけど、ポイントは1個

Claude Code は日本の法律を知らない前提で動くから、自分で文脈を流し込む

具体的には .claude/rules/ にリーガルファイルを置く。各ファイルは薄く、観点リスト + 一次情報リンクだけ。条文や解釈は外部に任せて、ルールファイルは「論点に気付くためのチェックリスト」に振り切る

これだけで Claude が日本の法律の論点を意識したコードを書きやすくなる。あくまでガードレールであって、最終的な判断は法務や DPO に通すのが前提

それでも「論点を見落とした状態でリリースする」リスクは大幅に減る

地味だが、日本向けサービスを Claude Code で作るなら、この法律バンドル運用は早めに揃えとくと一気に楽になるはず