Pillar 4 of 4

The audit your privacy policy has been quietly failing

We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.

無料でスキャンを開始無料監査を試す

Why a rubric instead of a vibe check

An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.

Multilingual policy discovery

If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.

What we don't do

We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.

エンジン

Multilingual link-text matching falls back to URL probing for sites that don't expose a clear privacy link. The clean text is graded by an LLM running on OpenRouter against a 14-point rubric covering GDPR, CCPA, COPPA, and general hygiene. Each rubric item is returned with a pass/fail flag and a short evidence quote when passing.

確認すること

GDPR Article 6 legal basis for processing
GDPR Articles 15–22 data subject rights
GDPR data categories enumeration
GDPR international data transfer disclosures (SCCs, adequacy)
GDPR retention periods or criteria
GDPR sub-processor / third-party recipient list
DPO or privacy contact details
CCPA notice at collection (12-month lookback)
CCPA "Do Not Sell or Share" opt-out
CCPA right to know, delete, correct
COPPA position on under-13 data
Last-updated / effective date
Cookie policy disclosure
Security safeguards description

指摘の例

serious

GDPRのデータ主体の権利の説明がありません

プライバシーポリシーに、GDPRの第15条〜第22条でデータ主体に付与される権利（アクセス、訂正、削除、データポータビリティ、制限、異議申立て）について記載がありません。EU居住者のデータを処理するすべてのサイトにおける重要な欠落であり、DPAの執行（enforcement）アクションで最も頻繁に引用される不備の1つです。

ルーブリック項目：gdpr.data-subject-rights
フレームワーク：GDPR
結果：FAIL
エビデンス：(なし—ポリシーに権利の説明がありません)
引用：GDPR 第15条、第16条、第17条、第18条、第20条、第21条

serious

CCPAの「販売または共有をしない」開示がありません

ポリシーに、カリフォルニア州の消費者が個人情報の「販売」または「共有」をオプトアウトする権利についての記載がありません。また、その権利を行使する方法の説明もありません。CCPA/CPRAでは、売上またはデータに関するしきい値に該当する事業者であれば、データを販売していないという認識があっても、この開示が必要です。法的定義は、口語的な定義よりも広いからです。

ルーブリック項目：ccpa.do-not-sell
フレームワーク：CCPA / CPRA
結果：FAIL
エビデンス：(なし—オプトアウトの仕組みが説明されていません)
引用：Cal. Civ. Code §1798.135

moderate

データ保管期間が指定されていません

ポリシーには「必要な限り」データを保管すると書かれていますが、実際の期間や、それを決める基準が指定されていません。GDPR第13条(2)(a)では、保管期間（またはそれが不可能な場合は、保管期間を決める基準）が必要です。「必要な限り」だけでは、複数のDPAにより十分ではないと却下されています。

ルーブリック項目：gdpr.retention-periods
フレームワーク：GDPR
結果：FAIL
エビデンス：「当社は、サービス提供に必要な限り、あなたのデータを保持します。」
引用：GDPR 第13条(2)(a)、第14条(2)(a)

Fix：データカテゴリごとに具体的な期間を列挙してください。例：「アカウントデータ：削除＋30日。ログ：30日。請求：7年（法定）」など。

60秒でサイトをスキャン

無料クレジット25。クレジットカード不要。気になるページの実際の指摘が手に入ります。

無料アカウントを作成料金を見る