個人情報保護法の完全施行（2005年4月1日）以後、セキュリティの確立は企業や団体にとっての法的義務となった。同法には刑事罰に関する規定があるし、法人名を公表されることによって社会的制裁を受けることも十分に考えられる。そもそも、医療情報は個人に関するもっともセンシティブな情報だから、このようなペナル ティがなかったとしても、取り扱いには万全を期す必要があるだろう。
　その一方で、医療情報をITで利活用することによって、社会的には大きな利益が期待できる。例えば、政府のe-Japan戦略II（2003年7月）では先導的7分野の一つに医療を取り上げ、各医療機関が連携して安価、安心、安全な医療体制を作るとの目標を掲げた。2006年1月のIT新改革戦略では、IT化のねらいを医療の構造改革にまで押し広げている。

　では、医療情報についてのセキュリティとIT利活用の間でうまくバランスを取るには、どうすればよいのだろうか。
　 そのための指針の一つとして厚生労働省が示しているのが、「医療情報システムの安全管理に関するガイドライン・第2版」（2007年3月）である。このガイドラインは医療機関を直接の適用対象とし、検査会社、製薬会社、ASP事業者、リモート保守会社、金融機関などの外部機関については医療機関が責任を持って遵守 させるとしている。
　 第2版では、IT新改革戦略の目標の一つに掲げられた「安全なネットワーク基盤の確立」などを具現化するための追加・変更が加えられた。ポイントの一つは、条件付きでインターネット経由のデータのやり取りを認めたことである（図1）。
　 実は、第1版（2005年3月）の段階では、医療情報の交換に使うためのネットワークはISDN（NTTのディジタル交換回線）かIP-VPN（専用IPネットワーク上の仮想的専用線）の上に構築することとされていた。 しかし、一般に使われているISDN（INSネット64）のスピードは64kbit/秒に留まるし、IP-VPNはランニングコストが高い。
　 そこで、第2版ではいくつかの要求仕様を満たすことを条件に、「オープンなネットワーク」すなわちインターネットでのやり取りを認められるようになった。具体的には、専用IPネットワークを使わないインターネットVPNの形態である。