
最近、ある大学病院がランサムウェアの標的になった事件が報道されました。ランサムウェアとは、コンピューターウィルスの一種で、身代金を意味するRansomとソフトウェアSoftwareとを組み合わせた造語です。
このウイルスに感染すると、パソコン内に保存していたデータや接続している他の端末のデータが使えなくなったりします。そして、犯人サイドから、こうした制限を解除するための見返りを要求されます。それだけでなく、取得した情報を公開しないための見返りも要求されることがあります。この2つの脅迫を合わせて「二重の脅迫」といいます。
このようなランサムウェアは、世界中のあらゆる種類の企業や公的機関、医療機関を標的としてきました。わが国の医療機関でも、過去にある公立病院が標的とされたことがありましたが、その時は、あまり注目されていませんでした。しかし、今回の事件報道で、ランサムウェアがわが国の医療機関においても深刻な脅威となっていることが改めて浮き彫りになったわけです。実際、厚生労働省も、医療機関へのサイバー攻撃に備えるため、ガイドラインを改訂するとの報道もなされています(2021年1月5日付日本経済新聞)。
ランサムウェアの具体的な予防策はありますが、その話はさておき、複数の裁判例検索システムを検索した限り、わが国においてランサムウェアに関する裁判例は見当たりませんでした。しかし、こうしたコンピューターウィルスの問題は、本をただせば、個人情報の管理についての問題ということができます。
そこで今回は、医療現場における個人情報の管理に関する裁判例を幾つか紹介し、そこからの教訓について考えてみたいと思います。