n8n-flow

n8nによるDSAR/データ主体リクエストの受付トリアージ

Difficulty

中級

Setup time

90min

For

legal-ops · privacy-counsel · dpo

Legal Ops

Stack

データ主体リクエスト（GDPR第15〜22条、CCPA-CPRA §1798.100〜105、UK GDPR/LGPD/VCDPAの同等条項）を専用の privacy@ 受信ボックスまたはWebフォームで受信し、タイプ別（アクセス/削除/訂正/ポータビリティ/異議申し立て/制限/自動化された意思決定）に分類し、法域別に適切な顧問にルーティングし、応答期限カウントダウンを実行するトラッキングレコードを開き、データ主体に本人確認リクエストを送信するn8nフローです。GDPRの1ヶ月/CCPAの45日の期限を静かに逃している手動のDSAR受付スプレッドシートを置き換えます。

使う場面

会社がEU/UKの個人データ（GDPR/UK GDPRがトリガー）またはCCPA-CPRAのしきい値のカリフォルニア州個人情報を処理している場合、またはLGPD/VCDPA/CPA/CDPAの同等条項の対象となっている場合。
インバウンドのDSARが手動トラッキングが滑り始める頻度にある場合（通常月5件以上）。
会社が定義されているデータ主体権利ワークフロー — 何が確認とみなされるか、誰が回答するか、どのデータソースから引き出すか — を持っている場合。フローはオーケストレーションであり、ワークフローが実質です。

使わない場面

顧問のレビューなしのDSARへの自動回答。 フローはトラッキングレコードを開き、身元確認を行います。実質的な回答（抽出されたデータ、スコープに関する決定、主体へのコミュニケーション）は顧問の判断です。
確認ステップのバイパス。 未確認のDSARに自動的に対応することは最も一般的なDSAR失敗モードです — リクエストがデータ主体以外の人からの場合や、別人のデータを抽出する悪意のあるリクエストの場合があります。フローの確認ステップは任意ではありません。
基礎となるデータ抽出作業の置き換え。 フローはトラッキングします；システムからデータを抽出しません。会社が使用する各システムは独自の抽出パスが必要です（手動または自動）；フローはどこから何を引き出すかを表面化します。
特定の業界ルールの対象となるDSAR（HIPAAの医療記録リクエスト、FERPAの学生記録リクエスト、GLBA財務記録リクエスト）。異なる確認と回答手順が適用されます；このフローのデフォルトはGDPR＋CCPA-CPRAです。

セットアップ

フローをインポートする。 apps/web/public/artifacts/dsar-intake-triage-n8n/dsar-intake-triage-n8n.json からインポートします。
認証情報を接続する。 必須5件：IMAP/Gmail（privacy@受信ボックス）、Anthropic（Claude分類）、Postgres（DSARトラッキングテーブル）、SMTP（確認送信）、Slack（顧問通知）。
トラッキングテーブルをプロビジョニングする。 _README.md のスキーマ — dsar_id にキー、受信タイムスタンプ、法域、リクエストタイプ、期限、ステータスを取得します。
確認テンプレートを作成する。 法域ごと（GDPRとCCPA-CPRAは異なる確認基準があります）、n8n/data/verification/<jurisdiction>.md 下にテンプレートを作成します。
ルーティングを設定する。 法域ごとの顧問ルーティング（EU→DPO、US→プライバシー顧問など）とリクエストタイプごとのルーティング（アクセス対削除で異なるパス）。
クローズされたDSARでドライラン。 先四半期のDSAR（主体の身元を匿名化済み）を再生します。分類とルーティングがプライバシー顧問が実際に行ったこととマッチすることを確認します。

フローが行うこと

6ノード。ルーティングは分類に依存するため、ルーティングの前に分類を行います。

受信ボックスポーリング/Webhook — privacy@ 受信ボックスを5分ごとにポーリング、またはプライバシー権Webフォームからwebhookを受信。件名、本文、送信者、タイムスタンプを取得します。
分類 — Claude呼び出し。{request_type, jurisdiction, subject_email, urgency_signal, malicious_signal} を返します。malicious_signalは「私はXの弁護士です」や「これは訴訟ディスカバリーのためです」のようなパターンで非ゼロになります — それらは異なるルーティングとなり、消費者DSARパスに従いません。
トラッキングレコードを開く — 法域から計算された期限でDSARテーブルにINSERT（GDPR：受信から1ヶ月；CCPA-CPRA：受信から45日；など）。
確認リクエストを送信する — 法域ごとのテンプレートでデータ主体に確認メールを送信します。確認はDSARに基づいて行動するのに十分な身元証明を求めます — 何がカウントされるかは法域によって異なります（GDPRは「必要かつ比例的」；CCPA-CPRAは「合理的な確実性」で確認が必要）。
顧問に通知する — ルーティングされた顧問にSlack DMで送信：分類、法域、期限カウントダウン、トラッキングレコードへのリンク。ここからの顧問の仕事はデータ抽出と実質的な回答の監督です。
監査追記 — 受付ごとにDSARごとに1行を監査テーブルに追記します。

コストの実態

LLMトークン — 通常、DSARあたり2〜4k入力＋0.5〜1k出力。リクエストあたり約0.02〜0.04ドル。無視できるレベルです。
n8n実行回数 — 中規模の会社で平均1日5〜15件；Starterプランの範囲内。
顧問の時間 — トラッキングと期限の負担が減ることで勝ちます。手動の期限トラッキングはDSARあたり週30分かかります；フローは受付時に問題を表面化し、顧問の時間を回答のために解放します。

成功指標

期限遵守率 — 法定期限内に回答されたDSARの割合。100%であるべきです；それ以下は会社がGDPR第83条の罰則（組織的失敗に対してグローバル収益の4%の上限）とCCPA-CPRA執行にさらされています。
確認の往復時間 — 受付から24時間未満に落とすべきです（受信した瞬間に確認メールが送信されます）。
顧問レビューでの誤分類率 — 顧問が再分類するDSARの割合。10%未満であるべきです；それ以上であれば分類プロンプトまたはルーティングテーブルの調整が必要です。

代替手段との比較

OneTrust / TrustArc / Securiti DSARモジュール対比。 これらのプロダクトはシステム抽出インテグレーションを含むDSARをエンドツーエンドで処理します。大量のDSARまたは完全なプライバシープログラムプラットフォームが必要な会社にはそれらを選びます。フローは軽量な中間地点です。
Excel＋Outlookルール対比。 デフォルトで期限逃しのソースです。
顧問がすべての受付メールをレビュー対比。 非常に低いボリュームでは実行可能です；フローは月約5件のDSARを超えるとそのセットアップコストを回収します。

注意点

境界線上のリクエストの分類。 ガード： urgency_signal と malicious_signal は信頼度バンドとして表面化されます；曖昧な分類は推測するのではなく再分類のためにプライバシー顧問にルーティングされます。
確認基準のドリフト。 ガード： 法域ごとのテンプレートが確認基準を固定します。EUの確認はCCPA-CPRAの確認より少ないことを求めます。
リクエスターとしての身元詐称。 ガード： 確認メールは（該当する場合）ファイル上のメールに送信されます — リクエストが来たメールアドレスではなく。attacker@example.com が victim@firm.com であると主張してリクエストが来た場合、確認は victim@firm.com に届きます。
クロス法域のルーティングミス。 ガード： 複数の可能性のある法域を持つリクエストは最初のマッチのみではなく、適用される顧問すべてにルーティングされます。実質的な回答が管轄法域を選択します。
期限カレンダーの計算ミス。 ガード： 期限計算はワークフローのタイムゾーンで実行されます；監査ログは期限タイムスタンプを明示的にキャプチャするため、顧問が会社のカレンダーと照合して確認できます。
未確認のDSARデータの保存。 ガード： トラッキングレコードは確認がクリアされるまで主体のメールとリクエストタイプのみを保存します；完全なリクエスト本文は確認が身元を確認するまで監査ログを超えたシステムに伝播されません。

スタック

バンドルは apps/web/public/artifacts/dsar-intake-triage-n8n/ にあります：

dsar-intake-triage-n8n.json — フローエクスポート
_README.md — スキーマ、認証情報、法域テンプレート

ツール：n8n、Claude、Slack。

関連：法務チーム向けGDPR、法務受付、法務ナレッジマネジメント。

GitHubでこのページを編集

Files in this artifact

Download all (.zip)

# DSAR intake triage — n8n flow

Receives data-subject requests, classifies them with Claude, opens a tracking record with the response-deadline clock, dispatches a verification request to the data subject, and notifies privacy counsel via Slack.

## Import

1. Import `dsar-intake-triage-n8n.json` into n8n.
2. Provision the tracking table (DDL below).
3. Wire credentials.
4. Author per-jurisdiction verification templates.
5. Dry-run on closed DSARs before enabling.

## DSAR tracking table

```sql
CREATE TABLE dsar_tracking (
dsar_id TEXT PRIMARY KEY,
received_at TIMESTAMPTZ NOT NULL,
request_type TEXT NOT NULL,
jurisdiction TEXT NOT NULL,
subject_email_claimed TEXT NOT NULL,
sender_email TEXT NOT NULL,
urgency_signal TEXT NOT NULL CHECK (urgency_signal IN ('low','medium','high')),
malicious_signal TEXT NOT NULL CHECK (malicious_signal IN ('low','medium','high')),
deadline TIMESTAMPTZ NOT NULL,
status TEXT NOT NULL CHECK (status IN (
'pending_verification', 'verified', 'in_progress', 'responded',
'denied_unverified', 'denied_invalid', 'closed_not_me'
)),
raw_subject TEXT,
raw_snippet TEXT, -- truncated to 1000 chars
verified_at TIMESTAMPTZ,
responded_at TIMESTAMPTZ,
response_outcome TEXT,
counsel_owner TEXT,
notes TEXT
);

CREATE INDEX dsar_deadline_idx ON dsar_tracking (deadline) WHERE status NOT IN ('responded', 'denied_unverified', 'denied_invalid', 'closed_not_me');
CREATE INDEX dsar_jurisdiction_idx ON dsar_tracking (jurisdiction);
```

A separate audit table (append-only, similar to the litigation-hold audit pattern) records every state transition. Counsel needs the audit chain for regulator inquiries.

## Credentials

- `PLACEHOLDER_GMAIL_PRIVACY_CRED_ID` — read access to `privacy@` mailbox. Use a dedicated mailbox, not a person's inbox.
- `PLACEHOLDER_ANTHROPIC_CRED_ID` — Anthropic API key. Sonnet 4.6 model.
- `PLACEHOLDER_DSAR_DB_CRED_ID` — write access to the tracking table.
- `PLACEHOLDER_SMTP_CRED_ID` — firm mail relay (NOT third-party SaaS — DSARs may flag the existence of personal data the firm holds, which is itself sensitive).
- `PLACEHOLDER_SLACK_CRED_ID` — `chat:write` scope, bot in `#privacy-counsel`.

## Per-jurisdiction verification templates

Save under `n8n/data/verification/<jurisdiction>.md`. The flow's `Send Verification` node reads the template per the classified jurisdiction.

### EU GDPR / UK GDPR

GDPR Art. 12(6) allows requesting "additional information necessary to confirm the identity of the data subject." Standard is "necessary and proportionate." For most consumer DSARs:

> Please reply with a copy (redacted as appropriate) of a government-issued identification, OR confirm three pieces of personal information you provided to the firm in the past two years (e.g. an order reference, the date you created an account, the email used at signup).

### CCPA-CPRA

CCPA Regulations §7060 require verifying to a "reasonable degree of certainty." For most consumer DSARs:

> Please reply with a copy of a government-issued identification, OR confirm three pieces of personal information that match what we hold on you (e.g. account email, order reference number, and a billing zip code).

### LGPD

LGPD Art. 18 §5 allows verification but doesn't specify standard. Brazilian ANPD guidance suggests proportionality similar to GDPR.

### Customizing per jurisdiction

Each template should:

- Name the legal basis for verification (cite the article).
- State what verification information is sufficient.
- State the consequence of non-verification (no action taken, request closed).
- Reference the response deadline so the data subject understands the clock.

## Dry-run procedure

1. Provision the tracking table and audit table on a non-production DB.
2. Wire credentials to staging endpoints.
3. Forward a sample of historic DSARs to a test inbox the flow polls.
4. Confirm: classification matches counsel's reading; deadline computed correctly; verification template fits jurisdiction; Slack notification reaches `#privacy-counsel`.
5. Switch to production credentials.

## Known limits

- Web-form intake (the alternative to email intake) needs a separate webhook node feeding the same `Classify` step. Not bundled.
- The flow doesn't handle the substantive response — that's counsel's work, supported by a separate data-extraction process per system.
- Reminders to counsel as deadlines approach are a separate cron workflow (similar pattern to the litigation-hold tracker). Not bundled.
- Verification-receipt tracking (when the subject replies with their verification) requires a separate webhook + state-transition workflow. Not bundled.
- The flow does not implement DSAR rate-limiting; abusive request patterns from a single sender are surfaced via the `malicious_signal` flag but the counsel decides how to respond.

## What to do when the malicious_signal is high

Examples that would trigger high `malicious_signal`:

- Sender claims to be a lawyer requesting another person's data (this is a discovery request, not a DSAR — different process).
- Request asks for data on a named third party.
- Request mentions impending litigation.

The counsel reviews. Common dispositions:

- Litigation-related: route to outside counsel, treat as discovery not DSAR.
- Lawyer-on-behalf-of: verify lawyer's authority to act for the data subject (power of attorney, written authorization).
- Attempt to extract third-party data: deny and document the denial (regulators may want to see how the firm handled spoofing attempts).

{
  "name": "DSAR intake triage",
  "nodes": [
    {
      "parameters": {
        "pollTimes": { "item": [{ "mode": "everyMinute", "minute": 5 }] },
        "filters": {
          "labelIds": ["INBOX"],
          "q": "in:inbox -from:me -label:dsar-processed newer_than:1d"
        },
        "options": { "downloadAttachments": false }
      },
      "id": "5a5a5a5a-0001-0000-0000-000000000001",
      "name": "Privacy Inbox Poll",
      "type": "n8n-nodes-base.gmailTrigger",
      "typeVersion": 1.2,
      "position": [240, 400],
      "credentials": {
        "gmailOAuth2": {
          "id": "PLACEHOLDER_GMAIL_PRIVACY_CRED_ID",
          "name": "Gmail — privacy@ inbox"
        }
      },
      "notesInFlow": true,
      "notes": "Polls the dedicated privacy@ inbox every 5 minutes. Replace with IMAP / Outlook node if mail lives elsewhere. Web-form intake adds a parallel webhook node feeding the same Classify step."
    },
    {
      "parameters": {
        "method": "POST",
        "url": "https://api.anthropic.com/v1/messages",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            { "name": "Content-Type", "value": "application/json" },
            { "name": "x-api-key", "value": "={{ $credentials.anthropicApi.apiKey }}" },
            { "name": "anthropic-version", "value": "2023-06-01" }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"model\": \"claude-sonnet-4-6\",\n  \"max_tokens\": 700,\n  \"system\": \"You are a DSAR classifier. Take the email subject and body. Return ONLY valid JSON with these keys: request_type (one of: access, deletion, rectification, portability, objection, restriction, automated_decision, unclear), jurisdiction (one of: EU-GDPR, UK-GDPR, CCPA-CPRA, LGPD, VCDPA, CDPA, CPA, other, unclear), subject_email (the email address of the data subject — usually the sender, but check the body for an explicit identification), urgency_signal (low, medium, high — high if the request mentions a regulatory complaint, lawyer, or specific deadline), malicious_signal (low, medium, high — high if the request claims to be from a lawyer, mentions litigation discovery, or asks for another person's data). Do NOT return prose; only the JSON object.\",\n  \"messages\": [\n    { \"role\": \"user\", \"content\": \"Subject: {{ $json.subject }}\\nFrom: {{ $json.from }}\\n\\nBody:\\n{{ $json.snippet }}\" }\n  ]\n}",
        "options": {
          "response": { "response": { "responseFormat": "json" } },
          "timeout": 30000
        }
      },
      "id": "5a5a5a5a-0001-0000-0000-000000000002",
      "name": "Classify",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [460, 400],
      "credentials": {
        "anthropicApi": {
          "id": "PLACEHOLDER_ANTHROPIC_CRED_ID",
          "name": "Anthropic API key"
        }
      }
    },
    {
      "parameters": {
        "jsCode": "// Parse Claude classification, compute deadline, prepare DB insert.\nconst llm = $input.first().json;\nconst inbox = $('Privacy Inbox Poll').item.json;\nconst text = llm.content?.[0]?.text || '';\n\nlet cls;\ntry {\n  cls = JSON.parse(text.match(/\\{[\\s\\S]*\\}/)[0]);\n} catch (e) {\n  cls = { request_type: 'unclear', jurisdiction: 'unclear', subject_email: inbox.from, urgency_signal: 'medium', malicious_signal: 'medium' };\n}\n\n// Deadline math per jurisdiction.\nconst DEADLINE_DAYS = {\n  'EU-GDPR': 30,\n  'UK-GDPR': 30,\n  'CCPA-CPRA': 45,\n  'LGPD': 15,\n  'VCDPA': 45,\n  'CDPA': 45,\n  'CPA': 45,\n  'other': 30,  // conservative default\n  'unclear': 30,\n};\nconst days = DEADLINE_DAYS[cls.jurisdiction] || 30;\nconst now = new Date();\nconst deadline = new Date(now.getTime() + days * 86400 * 1000);\n\nreturn [{\n  json: {\n    dsar_id: `dsar-${now.getTime()}-${Math.random().toString(36).slice(2, 8)}`,\n    received_at: now.toISOString(),\n    request_type: cls.request_type,\n    jurisdiction: cls.jurisdiction,\n    subject_email_claimed: cls.subject_email,\n    sender_email: inbox.from,\n    urgency_signal: cls.urgency_signal,\n    malicious_signal: cls.malicious_signal,\n    deadline: deadline.toISOString(),\n    deadline_days: days,\n    raw_subject: inbox.subject,\n    raw_snippet: (inbox.snippet || '').slice(0, 1000),\n    status: 'pending_verification',\n  }\n}];"
      },
      "id": "5a5a5a5a-0001-0000-0000-000000000003",
      "name": "Compute Deadline",
      "type": "n8n-nodes-base.code",
      "typeVersion": 2,
      "position": [680, 400]
    },
    {
      "parameters": {
        "operation": "insert",
        "schema": "public",
        "table": "dsar_tracking",
        "columns": "dsar_id, received_at, request_type, jurisdiction, subject_email_claimed, sender_email, urgency_signal, malicious_signal, deadline, status, raw_subject",
        "additionalFields": {}
      },
      "id": "5a5a5a5a-0001-0000-0000-000000000004",
      "name": "Open Tracking Record",
      "type": "n8n-nodes-base.postgres",
      "typeVersion": 2.4,
      "position": [900, 400],
      "credentials": {
        "postgres": {
          "id": "PLACEHOLDER_DSAR_DB_CRED_ID",
          "name": "Postgres — DSAR tracking"
        }
      }
    },
    {
      "parameters": {
        "fromEmail": "={{ $env.PRIVACY_FROM_EMAIL }}",
        "toEmail": "={{ $('Compute Deadline').item.json.subject_email_claimed }}",
        "subject": "Verification required for your data-subject request — Ref {{ $('Compute Deadline').item.json.dsar_id }}",
        "emailFormat": "text",
        "text": "Hello,\n\nWe received a data-subject request from your email address (or from someone claiming to act on your behalf). To act on this request, applicable law requires us to verify your identity.\n\nReference: {{ $('Compute Deadline').item.json.dsar_id }}\nReceived: {{ $('Compute Deadline').item.json.received_at }}\nDeadline for our response (assuming verification clears within 7 days): {{ $('Compute Deadline').item.json.deadline }}\n\nTo verify, please reply to this email with [jurisdiction-appropriate verification — e.g. for CCPA-CPRA: confirmation of three pieces of personal information we hold on you; for GDPR: a description of the data you are requesting access to and confirmation of your residency status]. See attached template for jurisdiction details.\n\nIf you did not make this request, please reply to this email with 'Not me' and we will close the request without taking action.\n\nThe firm's privacy team",
        "options": {}
      },
      "id": "5a5a5a5a-0001-0000-0000-000000000005",
      "name": "Send Verification",
      "type": "n8n-nodes-base.emailSend",
      "typeVersion": 2.1,
      "position": [1120, 320],
      "credentials": {
        "smtp": {
          "id": "PLACEHOLDER_SMTP_CRED_ID",
          "name": "SMTP — firm mail relay"
        }
      },
      "notesInFlow": true,
      "notes": "Verification goes to the CLAIMED subject email (which classify pulled from the body OR defaulted to sender). If sender ≠ claimed-subject, the verification reaches the alleged subject — protecting against spoofing."
    },
    {
      "parameters": {
        "method": "POST",
        "url": "https://slack.com/api/chat.postMessage",
        "authentication": "predefinedCredentialType",
        "nodeCredentialType": "slackApi",
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"channel\": \"#privacy-counsel\",\n  \"text\": \"DSAR intake — {{ $('Compute Deadline').item.json.dsar_id }}\",\n  \"blocks\": [\n    { \"type\": \"section\", \"text\": { \"type\": \"mrkdwn\", \"text\": \"*New DSAR — {{ $('Compute Deadline').item.json.dsar_id }}*\\n*Type:* {{ $('Compute Deadline').item.json.request_type }} · *Jurisdiction:* {{ $('Compute Deadline').item.json.jurisdiction }}\\n*Deadline:* {{ $('Compute Deadline').item.json.deadline }} ({{ $('Compute Deadline').item.json.deadline_days }} days from receipt)\\n*Urgency:* {{ $('Compute Deadline').item.json.urgency_signal }} · *Malicious-signal:* {{ $('Compute Deadline').item.json.malicious_signal }}\\n*Status:* pending_verification — verification email sent\" } }\n  ]\n}",
        "options": {}
      },
      "id": "5a5a5a5a-0001-0000-0000-000000000006",
      "name": "Notify Counsel",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [1120, 480],
      "credentials": {
        "slackApi": {
          "id": "PLACEHOLDER_SLACK_CRED_ID",
          "name": "Slack bot token (chat:write)"
        }
      }
    }
  ],
  "connections": {
    "Privacy Inbox Poll": { "main": [[{ "node": "Classify", "type": "main", "index": 0 }]] },
    "Classify": { "main": [[{ "node": "Compute Deadline", "type": "main", "index": 0 }]] },
    "Compute Deadline": { "main": [[{ "node": "Open Tracking Record", "type": "main", "index": 0 }]] },
    "Open Tracking Record": {
      "main": [
        [
          { "node": "Send Verification", "type": "main", "index": 0 },
          { "node": "Notify Counsel", "type": "main", "index": 0 }
        ]
      ]
    }
  },
  "settings": {
    "executionOrder": "v1",
    "timezone": "UTC",
    "saveExecutionProgress": true,
    "saveManualExecutions": true
  },
  "active": false,
  "versionId": "1"
}