2024年1月～4月にかけて、法律に関して仕事とは別に本や論文で勉強したことを簡潔なメモとともに随時記録に残しておこうと思います。
完全に自分の備忘用なので、読むのにわかりづらいこと必至です。。。（一応誰かが見るかもしれないと思うとやる気が出るのであげていますが、誰かに読んでもらうという前提ではほとんど書いていないという意味不明さですが、ご容赦ください。）
一度アップしたら更新情報はフォローしませんので、適宜更新の要否はご確認ください。また、情報ソースは併記するので、気になったらそのソースにあたってください。

Cookieに関する規制

Cookieとは、ユーザーの利用端末に保存されるドメインごとの識別用の文字列のことをいい、これにより、アクセス履歴等を集積することができる。
近年問題となっているthird-party cookieは、サイト運営者の提携先である広告業者等の付与するクッキーで、personalized ad等に利用されている。
Personalized adの仕組みとしては、クッキー情報を異なるドメイン間で連携させる「クッキーシンク」を使っている。たとえば、運営者のドメインにアクセスすると、同時に広告サーバも読み込まれ、それにより「サーバーへのアクセス日時や、ユーザーのIPアドレスの情報等を通じ、自社ドメインでのクッキーIDと、他社ドメインのクッキーIDが同一端末のものであると認定」し、サイト運営者の保有するユーザー情報と組み合わせることでpersonalized adの実現を可能にしている（中崎隆ほか『データ戦略と法律 攻めのビジネスQ&A 〔改訂版〕』182頁）。

なお、クッキー単体は単なる文字列であり、個人識別性はそれ自体では持たない。しかしながら、ログイン情報などと連携させた場合には、クッキー情報も併せて個人情報に該当する。

＜「個人関連情報」に関する規制＞

通則GL2-8は、「Cookie等の端末識別子を通じて収集された、ある個人のウェブサイト閲覧履歴」とする。そして、同法31条1項により、個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、あらかじめ当該個人関連情報に係る本人の同意が得られていることを確認しないで個人関連情報を提供してはならない、とされている。

＜民間事業者によるThird-party Cookies規制＞

・Apple社のFirefoxにおけるIntelligent Tracking Prevention機能
・Google社のChromeでは、今後導入予定（Tracking Protectionのテストを開始した状態）
https://blog.google/products/chrome/privacy-sandbox-tracking-protection/

デジタルプラットフォーム取引透明化法

・経産省による概要と法令
→特定デジタルプラットフォーム提供者が、取引条件等の情報の開示（取引条件変更時の事前通知を含む）及び自主的な手続・体制の整備（苦情・紛争処理のための自主的な体制整備を含む）を行い、実施した措置や事業の概要について、毎年度、自己評価を付した報告書を提出。

対象となる事業者は以下のとおり（経産省HPより抜粋（2024年2月14日時点））。

・各社報告書概要・経産省による評価→こちら参照

・ニッセイ基礎研究所「デジタルプラットフォーム透明化法－透明化法はデジタル市場法になりえるのか？」

医療関係における個人情報保護

＜PHR (Personal Health Record) 関係＞

PHR関連厚労省資料
・2019-2020 国民の健康づくりに向けたPHRの推進に関する検討会
・2020 健診等情報利活用ワーキンググループ
・2020- 健康・医療・介護情報利活用検討会
・2020- 健診等情報利活用ワーキンググループ　民間利活用作業班
→民間 PHR 事業者による健診等情報の取扱いに関する基本的指針（2021年4月）（2022年4月一部改正）

基本的指針について
・医療保険情報取得APIには同指針の遵守が必要とされる
・同指針は、個人情報保護法上の義務を超えた遵守事項が示されている点に注意（委託契約の内容、取得時・第三者提供時の通知、撤回・消去）
※鈴木謙輔ほか『ヘルステックと法 (KINZAIバリュー叢書L)』第3章参照

個人情報保護法について
・民間PHR事業者の個人情報保護法：委託の例外（委託の範囲を超えない利用が必要）／共同利用の例外（通知等必要）
→基本的指針も要参照
・匿名加工情報（特異な記述の削除まで施した非個人情報）の第三者提供（委託で情報を受領している場合には匿名加工情報作成が委託の範囲内か確認する必要あり）
・仮名加工情報（氏名等の削除を施した個人情報）→第三者提供は原則禁止で、インハウスの利活用が念頭とされ、一部事項（利用目的変更、漏えい時報告、開示請求）の義務免除が特徴。
※鈴木謙輔ほか『ヘルステックと法 (KINZAIバリュー叢書L)』第3章参照

個人情報保護委員会資料
・医療関連分野ガイダンス等

システム事業者の責任―3省2ガイドライン
・医療情報システムの安全管理に関するガイドライン第6.0版（2023年5月）（厚労省ガイドライン）
→記録の外部保存にあたり、国内法の適用の確保
・医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（2023年7月7日改定）（経産省・総務省ガイドライン）
→医療情報や医療情報システム等が、国内法の執行の及ぶ範囲であることが必要
・法的位置づけ：個人情報保護法の安全管理義務に関する記載と、診療録などを電子的に取り扱うための要件（e-文書法対応）に関する記載の併存
※鈴木謙輔ほか『ヘルステックと法 (KINZAIバリュー叢書L)』第3章参照

＜次世代医療基盤法＞

・制度概要／政府広報

首相官邸資料
・2015-2019 健康・医療戦略推進本部

規律内容
・個人情報保護法の規律：要配慮情報の第三者提供につき本人の事前同意が必要⇔次世代医療基盤法：匿名加工医療情報の作成事業者に対してオプトアウト方式で医療情報を提供できる
・（改正で追加）仮名加工医療情報の作成事業者に対してオプトアウト方式で医療情報を提供できるように
※鈴木謙輔ほか『ヘルステックと法 (KINZAIバリュー叢書L)』第3章、野呂悠登弁護士の記事「令和5年改正次世代医療基盤法の具体的な規律と実務への影響＞」参照

薬機法

・プログラムの医療機器該当性に関するガイドライン（令和3年3月 31 日（令和5年3月 31日 一部改正））
・医療機器プログラムの該当性→厚労省のデータベースが参考になる
・AI利用に備えるための2019年改正→IDATEN（変更計画確認制度）に基づく承認事項の変更の迅速化
※鈴木謙輔ほか『ヘルステックと法 (KINZAIバリュー叢書L)』第1章参照

医療DX

・「医療DX令和ビジョン2030」厚生労働省推進チーム

＜DXにおいて問題となる法規制＞

・医師法の医行為該当性→参考情報：健康寿命延伸産業分野における新事業活動のガイドライン／グレーゾーン解消制度・新事業特例制度／オンライン診療の適切な実施に関する指針(平成 30 年3月（令和5年3月一部改訂）)
・医療法上の医療法人の業務内容規制：本来業務・附帯業務（限定列挙）・附随業務／社会医療法人の認定を受けると収益業務も可
・医療法上の業務委託規制：一定の業務委託について所定の基準適合が必要
・非営利性の原則（開業規制＋剰余金配当禁止）→営利企業との提携時に注意
・医療法上の広告規制：広告可能事項の限定列挙→医業若しくは歯科医業又は病院若しくは診療所に関する広告等に関する指針（医療広告ガイドライン）
←広告方法の仕方により限定解除の可否が変わる
・保険診療における患者紹介料支払いの禁止（紹介行為と対価支払いの有無が争点）
・無診察治療の禁止→オンライン診療：オンライン診療の適切な実施に関する指針(平成 30 年3月（令和5年3月一部改訂）)（※Q&A）を遵守する限り（かかりつけ医師でない限り原則初診対面）で無診察治療の禁止に反さない
・オンライン服薬指導：実施要領＋Q&A（令和4年9月30日）

※鈴木謙輔ほか『ヘルステックと法 (KINZAIバリュー叢書L)』第2章参照

生命倫理

厚労省資料
人を対象とする生命科学・医学系研究に関する倫理指針
遺伝子治療等臨床研究に関する指針
←かかる指針は、法的拘束力はないが、補助金交付の条件となっているので実質的に遵守は避けられない

AI利用に伴う法的責任

・AIの法的責任→メーカーの責任？ or 利用者（医療AIであれば医師）の責任？（ほかにもデータ提供者、AIモデル開発者などの主体が関与）
・PL法：PLは有体物のみに適用される。また、引渡時点の「欠陥」が必要。AIにおける「欠陥」とはなにか。
・不法行為責任における過失判断
・責任の空白リスクあり
・自動運転→誰が保険料を負担すべきか

AIガバナンス

以下、特に言及のない場合には、主にAI事業者ガイドライン案、及び、羽深宏樹『ＡＩガバナンス入門　リスクマネジメントから社会設計まで (ハヤカワ新書)』参照

＜「AIガバナンス」とは＞

では目指すべきゴールをどこに置くかだが、ガイドライン案は、dignity、 diversity and inclusionとsustainabilityを理念として挙げているが（10-11頁）、羽深先生は、基本的価値として、人権、民主主義、経済成長（公正な競争環境を含む）、サステナビリティを挙げている。

＜AI原則＞

基本的価値を実現するための中間目標としてAI原則を考えることができる。ガイドライン案と羽深本を踏まえつつ、羽深本で詳細に記載されたAIのリスクとともに代表的な項目を列挙すると以下のとおり。羽深先生が指摘するとおり、各原則間のベストバランスの模索が必須となる。

・有効性⇔多様な入力情報の欠如（2015年 Google Photo, IBMのワトソンを使った癌診断システム）＋虚偽リスク（アメリカの弁護士の判例引用）
・プライバシーの確保⇔AIによるプライバシーリスク（プロファイリング、顔識別技術の悪用リスク、ソーシャルメディアのアルゴリズム（差別的な有害情報の拡散、希死念慮の増加等）、スコアリング（2019年リクナビの内定辞退率販売、Yahoo!スコア））
・安全性⇔AIの物理的安全リスク（自動運転, 医療AI）
・セキュリティ⇔AIセキュリティリスク（プロンプトインジェクション、データポイズニング（2016年のMicrosoftのTay））
・透明性と説明可能性：ディープラーニングに伴う事前予測・事後説明の困難さへの対応
・公平性と無差別⇔代理変数による差別（Amazonの履歴書スクリーニング, Apple CardのAI与信）
・人間中心（尊厳の問題、民主主義の問題、生成AIによる偽情報の問題、サステナビリティなど）⇔民主主義への悪影響リスク（2016年ケンブリッジ・アナリティカ事件）＋AI悪用リスク（ディープフェイク、2016年のロシアゲート、軍事利用）＋AI運営による大量の二酸化炭素排出
・アカウンタビリティ⇔多様なシステムが多様な主体により繋がっている

国としての責務
・適切な法制度の整備→データ保護法制（GDPR、日本の「限定提供データ」）、知的財産法制（出力された作品の侵害可能性、入力時点で著作権者の許諾不要との日本の運用）
・公正競争の確保⇔AIのビッグテック企業への集中（データと人材の偏向）
・AIリテラシーの確保

＜AIの開発から利用までのバリューチェーン＞

バリューチェーンには、以下の図のとおり、さまざまな主体が関与している場合が多い。

AI開発者である、Microsoft、Adobe、Googleなどは、自社の提供する生成AIが著作権を侵害した場合、顧客に生じた損害を補償するとしている（前掲・羽深129頁）。

＜アジャイル・ガバナンス＞

・外ループ：AIガバナンスに関するポリシー策定等
・内ループ：影響評価→リスクへの対応（リスク保有/軽減/移転/回避）
※AIID (AI Incident Database)を利用したリスク把握も参考になる（前掲・羽深119頁）
※リスクへの対応については、羽深122-4頁参照
※金融のリスクマネジメントと似た3線モデル（内部監査人協会が提唱）

＜収集加工時／提供時／利用時の法的リスク＞

・著作権法違反
→文化庁資料（著作権セミナー AIと著作権（2023年6月））参照
ー開発時点（収集加工時）
「著作物に表現された思想又は感情の享受を目的としない利用行為は、原則として著作権者の許諾なく行うことが可能」（法第30条の4）。ただし、「著作権者の利益を不当に害することとなる場合」（法第30条の4但書）は許諾が必要（例えば、情報解析用に販売されているデータベースの著作物をＡＩ学習目的で複製する場合など）。
「ただし書に該当するか否かは、著作権者の著作物の利用市場と衝突するか、あるいは将来における著作物の潜在的販路を阻害するかという観点から、最終的には司法の場で個別具体的に判断され」るので、不明瞭な点が残る。
なお、著作権者が利用を禁止していないかどうかも確認する必要。
―利用時点（入力時）
この場合の侵害の判断は、通常の絵を描いた場合と同様の「類似性」及び「依拠性」による判断となる（ただし、両要素が認められたとしても、私的使用のための複製については許諾不要）。

生成AIにおける依拠性については議論あり、文化庁は、「最終的には裁判所により、個別の作品ごとに判断されるものですが、文化庁としても、ＡＩ生成物の場合の考え方を整理し、周知を進めていきます。」とし、今後の検討事項を以下と紹介している。

・不正競争防止法
ー開発時点（収集加工時）
「限定提供データ」（自動走行用地図データ、POSシステムで収集した商品ごとの売上げデータ等の他社との共有を前提に一定の条件下で利用可能な情報であるため、「営業秘密」とはならなかったもの）の不正取得・使用の禁止。
※法律上の定義は、「業として特定の者に提供する情報として電磁的方法（電子的方法、 磁気的方法その他人の知覚によっては認識することができない方法をいう。次項において同じ。）により相当量蓄積され、及び管理されている技術上又は営業上の情報（秘密として管理されているものを除く。）」（2条7項）であり、限定提供性、相当蓄積性、電磁的管理性の三要件が必要となる。

―利用時点（入力時）
「営業秘密」を入力しないよう注意（保護を失う結果になる）

・個人情報保護法
ー開発時点（収集加工時）
個人情報をAI学習に利用するには、個人情報保護法の義務を遵守する必要がある（利用目的に関する義務、第三者提供制限、安全管理措置等）。匿名加工情報、仮名加工情報などの特例ルールはあるが、ルール遵守が前提。
―提供時点
チャットなどで個人情報を入力させる場合、海外事業者に転送される場合など、個人情報保護法の遵守が必要（前掲・羽深149頁）

＜国際的な指針・宣言・合意＞

・Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy (2023 Nov.)
・AI Safety Summit: The Bletchley Declaration (Nov. 2023)
・ISO/IEC JTC 1/SC 42 (Artificial intelligence)

＜日本政府による指針・ガイドライン等＞

・人間中心のＡＩ社会原則検討会議（2018年）
→人間中心のAI社会原則（2019年3月）
・AI戦略会議（2023年）
→AI事業者ガイドライン案（2024年）
・経産省のAI・データの利用に関する契約ガイドライン

＜米国政府によるフレームワーク＞

・NISTによるAI RISK MANAGEMENT FRAMEWORK (2023)

＜学術機関によるフレームワーク＞

・The Alan Turing InstituteによるHuman rights, democracy, and the rule of law assurance framework for AI systems (Feb. 2022)

＜民間による指針等＞

・リクルート社のAI活用指針
・Microsoft Responsible AI Standard, v2 (June 2022)
・富士通 AI倫理影響評価
・日本ディープラーニング協会の社内利用ガイドラインのひな形

日本法とアメリカ法のざっくりとした比較

ロースクールの授業やNY州の司法試験の勉強に際してぼんやりとではあるが、アメリカ法を勉強したので、その違いをまとめておこうと思う。アメリカ法といっても、多くの法領域では50州ごとに州法が異なる場合もあるなど複雑であり、単なる私の試験勉強をベースにしたもので、単なる私の感想めいたものと理解してください。
なお、樋口範雄『アメリカ人が驚く日本法』を参照した部分も多い。それ以外の参考文献については、情報ごとに末尾に付した。

<Contracts>

・契約法においてRule against perpetuitiesに相応する規範が日本にはない。
・アメリカ法において、違約金規定は、ペナルティ目的であれば無効であり、予定条項（liquidated damages clause）であれば、実損を超える分は無効とされる。
・日本では不法行為と契約に基づく債務不履行で救済が同一であるが、アメリカでは前者につき懲罰的損害賠償が認められる場合がある。
・約因（consideration）の要否が異なり、対価性がなければ、契約ではない点がアメリカの特色。
・法律というより法文化の問題として、契約のリスク分配機能について、日本は十全に発揮させていないことが多い。誠実協議規定などがその最たる例。アメリカは私的自治の発揮の場として契約を理解している。Parol evidence ruleもその表れ。
・アメリカの契約法では、精神的損害の賠償は認められない。

<Corporate>

・アメリカの各州会社法には資本維持の原則がないため、減資の際の債権者に対する催告・異議の制度もない。日本では、当然、資本維持の原則があり、資本金の額の減少にあたっては、株主総会決議と債権者異議手続が必要となる（江頭・会社法〔第8版〕38頁）。
※木村領介「株式会社の資本金減少制度における会社債権者保護について」(2023)
「資本金の減少に際して，株式会社に厳格な資本金減少手続を求めるというのは大陸法の規律に由来するといえるが，アメリカ法のように，そもそも資本維持を想定しない法制のもとでは，表示資本の減少も取締役会決議で決定することができ，厳格な債権者保護手続も擁しない 。」(p.79)
「わが国の法制は，一方で資本制度について，アメリカ法のように出資された財産の一定額を資本と定める法制を採用し，資本と株式の関係は切断されるのに対して，資本金減少における債権者保護のための規律については大陸法型となっている。」(p.84, Note 30)

<Agent>

・アメリカでは、代理権の授与は、契約ではなく、単独行為になる。

<Torts>

・根本目的の違いー損害の公平な填補を目的とする日本法と将来的な不法行為の抑止に力点を置くアメリカ法の違い。
過失論
・過失の注意義務の基準が、日本は全国基準である一方、アメリカは一部の州では地方基準がとられている。
・日本では過失相殺になるケースが、アメリカでは危険の引受けとして損害賠償を否定される場合がありうる。
・過失の不法行為について、経済的利益の損失のみを求めた場合、economic loss ruleにより、損害賠償はなされない。（※経済的利益はほかの主体に移転しているだけで、社会的な損失は発生しないから、というのがローエコからの説明。また、経済的損失は予測困難で金額や主体の範囲も予測困難に広がりうる点も理由とされる。）
損害論／慰謝料論
・特別損害の範囲。アメリカでは、リスク負担を明示する必要がある。
・アメリカでは、精神的損害だけの場合に損害賠償を認めることは消極的（"dualism"）（算定の困難さ／濫訴のおそれ等が理由）。日本では、慰謝料という形で精神的損害に対する賠償が用意に認められてきた。
・インフォームドコンセントにより説明を受けていれば、手術を受けていなかった事例。手術が成功していたとしても、日本であれば、慰謝料が認められるが、アメリカであれば、損害が認められず、原告は敗訴する。
・アメリカのegg shell skull ruleに対し、日本では、公平な損害填補を目的としていることから、素因が損害拡大に寄与した場合には、寄与度減責がありうる。
国賠訴訟
・アメリカでは、公共機関を不法行為で訴えることができる場合は限定されている（身体的損傷を必要とする場合あり）。日本では、国家賠償請求にそのような限定なし。
各論
・アメリカでは、多くの州で、婚約破棄で慰謝料を求めることを禁ずる法が制定されるなど、婚約破棄に対する裁判上の救済は基本的に求められない。
・Tortsにおいて、被害者が死亡した場合。アメリカの大多数の州は、survival statute（被害者のEstateによる訴えを許容。医療費等の死亡時点までの損害に限定される。）とwrongful death statute（逸失利益などを親族が訴える訴権を付与。配偶者や子どもに限定されている場合が多い。）を定めている。
製造物責任
・アメリカでは年間8万件ほどPL訴訟があるのに対し、日本では年間多くて10件程度。

<Succession>

・日本は相続制度の柔軟性が低い。アメリカでは一般的なジョイント・アカウントが利用できない。
・アメリカでは、多くの保険契約で、自殺の免責期間は２年とされている（日本の現在の実務は３年）。現在、いくつかの州及び首都ワシントンで認められている尊厳死について、保険法上の自殺となるかについて議論がある（合法州であれば、自殺とは構成されないはずだが、他州であればどうか。）。

<Trust>

・日本は信託の領域も、多くの場合は契約関係として認識するが、アメリカ法であれば契約とは異なる信託の領域として認識する。

<Criminal Law>

・日本は泥酔の問題は、責任能力の問題として、一般的に心神喪失・心神耗弱の問題として処理される。日本の責任能力は、事理弁識能力又は行動制御能力のいずれかを欠いていればいい。アメリカの多くの州では、一般的に、自招泥酔 (voluntary intoxication)は抗弁とならず、特定の目的・知識、又は特定犯意 (specific intent)を必要とする犯罪においてのみ、抗弁として主張が可能となる。（Mark D. West, "Drunk Japan - Law and Alcohol in Japanese Society" pp.53-54を参照）
・アメリカは、精神疾患を負っている者が、一定のテストを満たした場合に責任無能力となる。州ごとにテストは異なるが、M'Naghten Ruleでは、事理弁識能力を欠いているかのみを問題にし、また、Model Penal Codeでは、日本法と同様、事理弁識能力 (a cognitive component) 又は行動制御能力 (a volitional component) のいずれかを欠いていれば、insanityの抗弁が成立する。

<Civil Procedures>

・控訴審における事実認定の可否の違い（アメリカでは事実認定は原則一度きり）
・ディスカバリー制度の有無

<Tax Law>

・全体の個人所得税の仕組み、利子課税、配当課税、会計ルール、相続財産の取得費、純損失の繰越控除・繰戻については、過去記事参照。
・現物出資の損益認識についても過去記事参照。
・自己株式取得時課税についても過去記事参照。

米国法―企業透明化法（The Corporate Transparency Act）

＜条文・ガイドライン等＞

・CTAの条文
・財務省の規則：2022-21020.pdf (govinfo.gov)
・FAQ：Beneficial Ownership Information Reporting | FinCEN.gov
・Small Entity Compliance Guide（2023年9月18日）

＜関連ニュースレター＞

・和文

西村あさひ「米国企業透明性法に基づく実質的所有者情報の報告義務」（2023年12月28日号）

・英文

＜概要＞

CTAは、一定の会社（以下「報告会社」）に対して、当該会社の情報及び実質的所有者（beneficial owners）又は会社申請者（company applicant）に該当する個人の情報を米国財務省の金融犯罪取締ネットワーク（Financial Crimes Enforcement Network 、以下「FinCEN」）に報告する義務を課している。
なお、23項目の除外要件により、SEC登録の上場会社、金融機関 、非課税事業体、一定規模の事業体、休眠事業体 、特定の除外要件により除外される事業体の子会社などが除外されており、特に、一定規模の事業体で、具体的には、米国においてフルタイム・ベースの従業員が20人を超え、前年の税務申告における米国での総売上げが500万ドルを超える会社で、米国内に実際に事務所を有して事業を行っている場合の除外が重要。

実質的所有者とは、①契約、合意、取決め、関係性等により、 報告会社に対して実質的な支配（substantial control）を有している個人、又は②報告会社の持分（ownership interests）を25%以上直接又は間接的に保有又は支配している個人をいい、報告会社は、実質的所有者の情報として、①又は②の要件に該当する個人全ての情報の提供が必要となる。

2024年1月1日より前に新たに設立又は登録された事業体については、2025年1月1日までにFinCENに初回報告を行うことで足りる一方、2024年1月1日以降に設立又は登録された事業体については、設立又は登録が有効である旨の通知を受け取ってから30日以内に初回報告を行う必要がある。

日本企業としても、米国子会社等が「報告会社」に該当するか（報告義務を負うか）、該当したとして「実質的所有者」に誰が該当するか（誰の情報を報告するか）等検討が必要。