海外のハッカー集団がサイバー攻撃を活発化させており、医療機関の被害が増加しています。2016年以降、少なくとも17の病院や検査機関のサーバーが被害を受け、22年に入って被害は６件と過去最悪の状況です。
地域別にみると14府県の病院などが被害に遭っており、100床未満の小規模病院から大学病院まで、病床規模や診療機能は関係ありません。被害に遭った病院のホームページを調べてみると、一部の病院ではHTTP通信※のままであり、セキュリティの意識が充分でないことがわかります。

※HTTPは「 Hyper Text Transfer Protocol」の略で、スマホやパソコンからWebページを閲覧するときには「データが暗号化されていない」状態になっています。もし第三者にこの通信データが傍受された場合には通信内容が簡単に漏えいしてしまうため、暗号化した通信の方法（HTTPS：Hyper Text TransferProtocol Secure）に切り替える必要があります。
一方でホームページ経由による集患や採用はもちろんのこと、オンライン診療の実施やオンライン資格確認の導入（マイナンバーカードの保険証利用）など、医療機関を経営するにあたってインターネット接続は今や不可避でしょう。また診療報酬では医療現場の効率性を向上させるために、電子的保健医療情報活用加算、診療情報提供料Ⅰの検査・画像提供加算や電子的診療情報評価料などの項目を増やすことで、情報通信技術を活用した運営や地域連携を後押ししています。
さて2020年に改正された個人情報保護法が2022年４月１日から全面施行、つまり効力が発生しました。これまでは医療情報のような要配慮個人情報を流出させた場合には、個人情報保護委員会※に報告し、本人にも通知することが義務づけられていましたが、あくまでも努力義務（行うことが望ましい義務）でした。今回の改正によって個人データの漏えい等については一定の要件を満たす場合は、個人情報保護委員会への報告や本人への通知が法的義務になりました。
※個人情報保護委員会は、個人情報の保護に関する法律に基づき設置された合議制の機関。9名の委員で構成。東京都千代田区霞が関に所在。
ちなみに「漏えい等」とは図表１のように、データを誤って外部に送信した場合や院内で紛失した場合、ランサムウェア等によって電子カルテ情報が暗号化されて閲覧できなくなった場合も該当します。