---
name: legal-check
description: >
  Reviews code, documents, and configurations for IT legal compliance.
  Triggers: legal, license, compliance, privacy, GDPR, copyright, terms, contract, OSS license, intellectual property, data protection.
  Source-code read-only — never modifies source code or test files.
  Outputs legal check report to output/reports/legal/ (requires Write permission to output/reports/legal/).
  Takes optional argument: /legal-check <target-scope or instruction>
context: fork
---

# IT Legal Check

IT関連の法務観点でコード・ドキュメント・設定をレビューするスキル。
OSSライセンス適合性、データ保護、知的財産権、利用規約遵守などを構造化されたチェックリストに基づき検証する。

**免責事項**: 本スキルによるレビューはAIによる参考情報であり、法的助言ではない。重要な判断は必ず法務専門家に確認すること。

## 前提条件

`docs/` ファイルへの依存なし。`project-config.md` §10（セキュリティポリシー）があれば参照する。

## 基本姿勢

- **ソースコードは一切変更しない**（読み取り専用）
- 指摘は具体的な法令・ライセンス条項を根拠とする
- リスクレベルを明示する（CRITICAL / WARNING / INFO）
- 判断が分かれる事項は両論を併記し、専門家への相談を推奨する
- 推測で「問題なし」と断定しない（不明点は明示する）

## 使い方

```text
/legal-check <対象範囲 or チェック指示>
```

引数は省略可能。省略した場合はプロジェクト全体を対象とする。
ファイルパスや観点を指定した場合はその範囲に限定してチェックする。

### 例

```text
/legal-check プロジェクト全体の法務チェック
/legal-check OSSライセンスのみ確認する
/legal-check src/shared/data/tech-tag-master.ts
```

### 出力先

- デフォルト: 会話内でレポートを提示
- ファイル出力: `output/reports/legal/LEGAL_<日時>.md`（`output/`ディレクトリが存在する場合）

### 他スキルとの連携

| 前工程 | 本スキル | 後工程 |
| ------ | -------- | ------ |
| `/implementing-features` | `/legal-check` | （最終工程） |

## レビュー観点

### 1. OSSライセンス適合性

#### チェック項目

- [ ] 全依存パッケージのライセンスを確認した
- [ ] コピーレフト系ライセンス（GPL, AGPL, LGPL等）の有無を確認した
- [ ] ライセンス間の互換性を確認した
- [ ] 必要な帰属表示（attribution）が含まれている
- [ ] ライセンスファイル（LICENSE, NOTICE）が適切に配置されている

#### ライセンスリスク分類

| リスク | ライセンス例 | 影響 |
| ------ | ------------ | ---- |
| 低 | MIT, ISC, BSD-2-Clause, BSD-3-Clause | 帰属表示のみ |
| 中 | Apache-2.0 | 帰属表示 + 変更点明記 + 特許条項 |
| 高 | LGPL-2.1, LGPL-3.0 | 動的リンク条件、ソース提供義務あり |
| 要注意 | GPL-2.0, GPL-3.0, AGPL-3.0 | 派生物にも同ライセンス適用、ソース公開義務 |

```bash
# 依存パッケージのライセンス一覧出力
npx license-checker --summary
npx license-checker --csv --out licenses.csv
```

### 2. データ保護・プライバシー

#### チェック項目

- [ ] 個人情報に該当するデータフィールドを特定した
- [ ] データの保存場所と保存期間を確認した
- [ ] データの暗号化状況を確認した（保存時・転送時）
- [ ] ユーザーの同意取得フローが実装されているか確認した
- [ ] データ削除（忘れられる権利）の対応状況を確認した
- [ ] 第三者提供の有無と同意取得を確認した

#### 関連法令

| 法令 | 管轄 | 主な要件 |
| ---- | ---- | -------- |
| 個人情報保護法 | 日本 | 利用目的の明示、安全管理措置、第三者提供制限 |
| GDPR | EU | 明示的同意、データポータビリティ、忘れられる権利 |
| CCPA/CPRA | 米国カリフォルニア | オプトアウト権、データ販売開示 |
| 電気通信事業法（外部送信規律） | 日本 | 利用者情報の外部送信時の通知・同意 |

### 3. 知的財産権

#### チェック項目

- [ ] 他者の著作物（コード、画像、フォント、アイコン等）の使用許諾を確認した
- [ ] AIで生成したコード・コンテンツの著作権帰属を確認した
- [ ] デザインシステムや外部リソースの利用規約を遵守している
- [ ] 商標の無断使用がないか確認した
- [ ] フォントライセンスを確認した

### 4. 帰属表示・クレジット

#### チェック項目

- [ ] OSSライブラリの帰属表示が適切か
- [ ] 外部デザインシステム・ガイドラインの出典表示が適切か
- [ ] アイコン・画像・フォントのクレジット表記が要件を満たしているか
- [ ] サードパーティAPIの利用規約に基づく表示義務を満たしているか

### 5. 利用規約・契約

#### チェック項目

- [ ] 利用規約（Terms of Service）が存在するか
- [ ] プライバシーポリシーが存在し、実装と一致しているか
- [ ] 免責事項が適切に記載されているか
- [ ] 外部サービス（API等）の利用規約を遵守しているか

### 6. セキュリティコンプライアンス

#### チェック項目

- [ ] 機密情報の安全な保存が確保されているか
- [ ] XSS、CSRF等の脆弱性対策が施されているか
- [ ] 依存パッケージの既知の脆弱性を確認した（`npm audit`）
- [ ] HTTPS通信の強制が適切に設定されているか

## レビューワークフロー

1. **スコープ確認** — レビュー対象（コード全体 / 特定機能 / 依存パッケージ / ドキュメント）を確認
2. **情報収集** — 対象のコード、設定ファイル、package.json、ライセンスファイルを読み取り
3. **観点別チェック** — 上記6観点に沿って検証
4. **レポート出力** — 下記フォーマットで構造化されたフィードバックを返す

## 出力契約

### セクション定義

| セクション | 必須 | 制約 |
| ---------- | ---- | ---- |
| 免責事項 | ✅ | 定型文。変更不可 |
| 概要 | ✅ | 対象範囲（列挙値）, 検出事項件数 |
| 検出事項 | ✅ | CRITICAL→WARNING→INFO の順。0件でも見出しは残す |
| ライセンスサマリー | 条件付き | 依存パッケージが対象範囲に含まれる場合 |
| データ保護サマリー | 条件付き | データ取り扱いが対象範囲に含まれる場合 |
| 推奨アクション | ✅ | 優先度順に番号付き。最低1件 |
| 専門家への相談推奨事項 | 条件付き | 判断が分かれる事項がある場合 |

### リスクレベル定義

| レベル | 判定基準 | 対応期限の目安 |
| ------ | -------- | -------------- |
| **CRITICAL** | 法令違反・ライセンス違反の可能性が高い | 即時対応 |
| **WARNING** | 規約上のグレーゾーン、または対応が推奨される事項 | 次回リリースまで |
| **INFO** | 参考情報。現時点でリスクは低いが認識しておくべき事項 | 任意 |

### 語彙制約

| 用語 | 定義 |
| ---- | ---- |
| 帰属表示 | ライセンスで要求される著作権・ライセンス文の表示義務 |
| コピーレフト | 派生物にも同一ライセンスの適用を求める条項 |
| 個人情報 | 個人情報保護法第2条で定義される、特定個人を識別可能な情報 |
| 要調査 | AI判断では確定できず、専門家確認が必要な事項 |

## レポートフォーマット

```markdown
# IT法務チェックレポート: [対象の概要]

## 免責事項
本レポートはAIによる参考情報であり、法的助言ではありません。
重要な判断は法務専門家にご確認ください。

## 概要
- 対象範囲: コード全体 / 特定機能 / 依存パッケージ / ドキュメント
- 検出事項: CRITICAL X件 / WARNING Y件 / INFO Z件

## 検出事項

### CRITICAL（対応必須）
- [ ] **[対象]** 指摘内容。**根拠**: 法令・条項。**推奨対応**: 対応方法。

### WARNING（対応推奨）
- [ ] **[対象]** 指摘内容。**根拠**: 法令・条項。**推奨対応**: 対応方法。

### INFO（参考情報）
- [ ] **[対象]** 指摘内容。**補足**: 説明。

## ライセンスサマリー

| パッケージ | ライセンス | リスク | 帰属表示 | 備考 |
| ---------- | ---------- | ------ | -------- | ---- |

## データ保護サマリー
- 個人情報フィールド: [該当フィールド一覧]
- 保存方式: [保存方式]
- 暗号化: あり / なし / 該当なし

## 推奨アクション
1. [優先度の高い対応事項]

## 専門家への相談推奨事項
- [判断が分かれる事項、リスクが高い事項]
```

## 禁止事項

- ソースコードの変更（テストファイルも含む）
- 法的助言の提供（あくまで参考情報としての指摘に留める）
- 根拠なき「問題なし」の断定
- リスクの過小評価（不明な場合は専門家への相談を推奨する）