プライバシーレビュー用の共通のActionを作成

[rofutocgm]

何をどう修正したか

actions/privacy-review/action.yml を新規作成しました。
anthropics/claude-code-action をラップしたComposite Actionで、PRの変更差分に対してプライバシー・個人情報の取り扱いに関するレビューを自動実行します。

各リポジトリでは以下のようにワークフローから呼び出すことで利用可能にする予定です

- uses: wedinc/.github/actions/privacy-review@main
  with:
    anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}

検知項目

1. 新規PII収集・保存（氏名、メール、電話番号、住所、位置情報、デバイスID等）
2. PII漏洩リスク（ログ出力、エラーレポート、APIレスポンス、URL、クライアントストレージ）
3. 外部サービスへのPII送信（Analytics、サードパーティAPI、Webhook）
4. PII保護の不備（暗号化、認可、バリデーション、削除機能、匿名化・マスキング）
5. 例外ケースの判断（店舗座標等の非PII誤検知を抑制）

なぜやるのか?

PRで個人情報の収集・送信に関わる変更が入った際に、レビューで見落とされるリスクがある。
リポジトリ・言語・フレームワークによらない共通のプライバシーチェックを、各リポジトリにワークフロー1つ追加するだけで導入できるようにする。

初期の展開先はbellroyとgraniを予定。