医療DX入門3 医療DXガバナンス

KOBAYASHI, Shinji

お断り:本稿の内容は広範囲にわたる難しいものです。とりあえずの形として文書化しました。まだ満足する内容ではないので、随時適宜書き換えます。


1. はじめに

 本連載では医療DXをGAPS Frameworkを使って解説を進めています。今回はDXで最も重要であると同時に最も難しいG (Governance; ガバナンス)について解説します。情報ガバナンス、情報システムガバナンスはそれ自体が大きな専門分野でありますので、この記事ではその端緒に触れることしかできません。多くの書籍や勉強会などでガバナンスを学ぶきっかけとしていただければ幸いです。
 情報システム上の不具合を「運用でカバー」することはできますが、ガバナンスの失敗を運用で取り返すことはできません。医療DXにおいてもガバナンスは重要です。医療以外で広く使われているITガバナンスフレームワークを中心にITガバナンス論を解説し、医療DXにおけるガバナンスについて考察します。

2. 医療DXにおけるガバナンスとは

 ガバナンスは「統治」、「統制」とも訳されます。ガバナンスの語源は舵とり(かじ)を意味するラテン語のgubernareと言われています。組織の方向を定めることを「舵取り」と言いますが、ガバナンスのイメージとよくあいます。ガバナンスは組織の方針を定めることであり、多くのステークホルダーを調整して組織の価値を高める行動です。企業のガバナンス活動のうちで、IT、DXに関連するものをITガバナンスと呼ばれています。経済産業省による「システム管理基準」ではITガバナンスを以下のように定義しています[1]。

IT ガ バ ナ ン ス と は 、組 織 体 の ガ バ ナ ン ス の 構 成 要 素 で 、取 締 役 会 等 が ス テ ーク ホ ル ダ ー の ニ ー ズ に 基 づ き 、 組 織 体 の 価 値 及 び 組 織 体 へ の 信 頼 を 向 上 さ せ るた め に 、 組 織 体 に お け る IT シ ス テ ム の 利 活 用 の あ る べ き 姿 を 示 す IT 戦 略 と 方針 の 策 定 及 び そ の 実 現 の た め の 活 動 で あ る 。

経済産業省、システム管理基準(2023)[1]

少しわかりにくいので解説します。ガバナンスは経営陣が組織の価値を高めるための活動です。組織の価値とは所有する資産(動産、不動産、人材含む)、社会的評価、評判 (Reputation)や信頼性などが含まれ、ステークホルダーの利益につながるものです。
 医療機関にとってステークホルダーとは患者さんや職員、そして薬剤卸や機器ベンダーなどの関連する取引先や関連病院、自治体や医師会など多岐にわたります。さらに、医療機関は医療法や地域医療法とその関連法令で定められる役割を負うことが義務付けられております。営利の追求を主体とする一般企業のガバナンスとは異なるガバナンスが医療機関には求められています。
 DXを進めるにはそれなりの額の投資も必要となりますし、組織の改編を必要とするような業務変革も伴います。その成否により組織に大きな利益をもたらすこともあれば、損失を出すことにもなります。病院であればDXにより提供できる医療サービスが向上することを目指しますが、失敗すると損害につながることもあります。さらに、患者さんに関連する情報は医療情報保護法に規定される機微情報ですので、一般より高い水準の管理が求められます。情報漏洩事故などの重大事故が起きれば病院の存亡にもつながりかねません。そうしたリスクを最小化し、利益を最大化することがガバナンスの役割です。

2.1 ガバナンスとマネジメントの違い

DXではガバナンスとマネジメントを切り分ける必要があります。ガバナンスの主体は経営陣が担うのに対して、マネジメントは情報部門が主体となります。組織内のチームとして情報システムの導入から保守運用を行うのがマネジメントであり、目標を定めて情報システムを導入するために組織内外ののために投資を決断するのがガバナンスの役割です(図2)。
 病院では経営母体によって異なりますが、病院長を含めて構成される経営陣がガバナンスの主体となります。

図2,ITガバナンスとITマネジメントの範囲経済産業省、システム管理基準(2023)[1]より抜粋

2.2 ITガバナンスフレームワーク

 ITガバナンスの研究は1990年代に始まりました。その成果として、ガバナンスを実施するための手順や考え方をまとめたフレームワークが提供されています。を学ぶことがガバナンスを習得する近道です。代表的なガバナンスフレームワークとしてCOBIT-5[2], COBIT-2019[3]があります。ISACA[4]などITガバナンスについての勉強会もあるので参加してみるのもよいでしょう。先述した経済産業省がISO 17799や, ISO38500シリーズなどを元に作成したシステム管理基準も2023年に改定されました[1]。これらの資料に加えて、厚生労働省が出している医療情報システムの安全管理ガイドラインも参考になります[5]。WHOが提示しているDigital implementation investment guide[6]も事例を挙げて実践的な内容で構成されています。 

2.3 情報技術(IT)ガバナンスと情報ガバナンス

 COBIT-2019では情報技術(IT)ガバナンスを情報ガバナンスと情報技術ガバナンスに分離して考えます。電子カルテなどの情報システムと、診療記録として蓄積されるデータについては、それぞれガバナンスの目的や方法も変わってきます。
 本稿でも情報システムに関するガバナンスと情報についてのガバナンスをそれぞれ分離して説明します。

3. EDMモデルによるITガバナンス

  ITガバナンス手法として、EDM(Evaluate - Direct - Monitor)モデルを取り
上げます。EDMはISO/IEC38500(JIS 38500)シリーズで規定されています[7]。マネジメント手法として医療でも定着したPDCAサイクルのように、評価、指示、モニタというサイクルを繰り返すというガバナンス手法です。

Evaluate(評価)
 評価とは、現在の情報システムと将来のあるべき姿を比較分析し、IT マネジメントに期待する効果と必要な資源、想定されるリスクを見積もることである。
Direct(指示)
 指示とは、情報システム戦略を実現するために必要な責任と資源を組織へ割り当て、期待する効果の実現と想定されるリスクに対処するよう、IT マネジメントを導くことである。
Monitoring(モニタ)
 モニタとは、現在の情報システムについて、情報システム戦略で見積もった効果をどの程度満たしているか、割り当てた資源をどの程度使用しているか、及び、想定したリスクの発現状況についての情報を得られるよう、IT マネジメントを整備すると共に、IT マネジメントの評価と指示のために必要な情報を収集することである。

ISO/IEC 38500, システム管理基準[1, 7]

3.1 Evaluate(評価)

 評価の対象は以下の3つです。

  • 資産評価

  • 事業調査分析

  • システム投資見積もり

3.1.1 資産評価
 評価において重要なのは現状を把握することです。組織としてまず、医療機関が持つ「価値」を評価します。財務諸表など病院経営に関する管理指標は全国統計を厚生労働省がまとめていますので、それを参考にしてください[8]。厚労省は医療施設安定化推進事業も行っており、その報告書や同規模の医療機関との比較は経営状態を評価するために参考になります[9]。
 次に、医療機関として持つ情報システム資産と情報資産がどの程度あるのか評価します。すべての情報機器とソフトウェアを管理するため、SBOM (Software Bill Of Materials) を導入してみるのもよいでしょう[10]。ただ、はじめは、概算がわかって現状を評価できればよいので棚卸表程度のものでもかまいません。

  次に情報(データ)資産について評価します。職員データ、患者データ、診療内容、画像などと分類して、容量や件数、格納されているシステムについて整理します。医療情報の価値についての評価は難しく、いまだに定式はありません。患者さん個人の診療情報はかけがえのないもので価値をつけること自体はばかられることではありますが、対策にコストがかかる以上はその評価をせざるを得ません。かけられる資源には限りがありますので、重要な情報に十分な対策コストをかけるには、情報の価値に応じてメリハリをつけていくべきです。
 情報システムおよびデータの価値については、一般的には取得コスト、維持コスト、逸失コストにわけて評価します。
i) 取得コスト
 電子カルテなどのシステムを導入するために必要となったコストのことです。電子カルテに入力された患者記録であれば、入力に要した時間と医療職の時給を掛け合わせます。あるいは、診察についての記録であれば、初診、再診料をあててもいいでしょう。検査データであれば検査料、画像データであれば撮影料、画像報告書であれば画像診断料をデータの価値と考えます。
ii) 維持コスト
 システムやデータを維持するために必要となるコストを見積もります。多くはシステム運用コストと重なりますが、データのバックアップのためのコストやクラウドの維持コストなども計算に入れるようにします。
iii) 逸失コスト
 情報が漏洩したり、トラブルでシステムに障害が発生したり、データが破損したり消失して使用できなくなった場合に、復旧するためにどの程度のコストがかかるかを計算します。医療データの逸失コストは以下のような計算を積み上げて逸失利益・コストを計算していきます。

  • データを再入力するための人件費

  • データが漏洩した場合に発生しうる賠償費用

  • データをバックアップから復旧するための費用

  • データ漏洩事故がマスコミ報道されて発生する風評被害への対策コスト


iv) 廃棄コスト
 システムやデータを廃棄するために必要となるコストもあらかじめ算定しておきます。紙も含めて関連する情報のすべてを完全に消去するためにかかるコストを見積もります。

3.1.2 事業調査分析
 医療機関が実施している事業について分析し、組織として「あるべき姿」について検討していきます。
 まず、医療機関が果たすべき役割を考えます。業務全体を図に表してみましょう。きれいなものではなくてかまいません。付箋に書き出してKJ法をやってみてもいいでしょう(図3)。SWOT分析[11]や5-Why(なぜなぜ)分析[12]も有用です。

図3. KJ法による業務分析の例


 次に、現在の業務をリストアップし現場の責任者や実務担当者、医療資格職や事務員、作業員など幅広く現状について調査を行い問題点をチェックします。業務にかかっている人件費や設備費、消耗品費などについいて整理し、その業務で得られている診療報酬などの売り上げから損益を計算します。それらの業務に情報システムがどのように関与しているのか、コストがどの程度かかっているのかについても評価します。
 3番目にそれらの問題点を整理して課題を絞り込みます。医療機関が果たすべき役割とは何か、果たすべき役割を果たせていないとしたら何が要因か。拡大すべき業務や縮小、廃止すべき業務など業務全体について評価し、その中で情報システムがどのように働いているのかについて分析します。
 最後に医療機関としての果たすべき役割と目標を定め、解決すべき問題点や達成すべき指標を定めます。
3.1.3 情報システム投資見積もり
 事業調査分析で分析したあるべき姿を目指して課題解決するための業務変革について計画を立てていきます。業務変革のためにどのような情報システムが必要であるのかを吟味して、かけられる費用と投資効果を見積もります。主体となる目的はあくまで業務変革であって、情報システムの導入やデジタル化はそれを達成するための手段です。デジタル化や情報システムの導入が目的であってはいけません。
 デジタル化によって効果が得られやすい業務と得られにくい業務があります。定型業務や重複・反復している業務はデジタル化により省力化しやすいですが、非定型業務やデータが少なく予想ができない状況ではデジタル化による効果はなかなか得られません(図4)。

図4.DX投資の効果について

 これらの特性を踏まえて費用対効果を検討します。DXによりどれだけの効果があるか、得られる利益と投資について見積もります。正確な見積もりは難しいと思いますが、概算でかまいません。多くのDXプロジェクトはその見積もりすらなく単にデジタル化のみを検討し評価すらできない状況に陥っています。概算でも最初に見積もっていれば、事後に出た数字を元に検討して軌道修正することもできます。
 その他、短期的に集中して投資すべきか長期的に継続した投資が必要なのかについても検討することが必要です。

3.2 Direct(指示)

 評価分析を通して見えてきた組織のあるべき姿に向かって方向性を示します。
3.2.1 DXの対象と目標を表明する
 まず、3.1で把握した課題を解決するためのDXプロジェクトを組織内外すべてのステークホルダーに示します。プロジェクトが経営陣の方針であることを明言して責任の所在を明確にすることが重要です。プロジェクトを通じて何を実現しようとしているのか、その目的を明示します。誰が、何を、何のために、いつまでに行うのかを概要で示してください。A4で1枚に収まる程度の簡潔な内容で誰もが理解できるように説明しましょう。現在の組織上の問題点を示し、それをどのように解決して目標に至るのかをまず説明してください。次に、達成することで得られるメリットとそれぞれが果たすべき役割について説明します。繰り返しになりますが、情報化、デジタル化、システム導入は目標にはなり得ません。
 次に、評価指標を示します。目標を達成するために必要な項目について客観的に評価できる指標を設定します。具体的で数値評価できるように指標を設定することが重要です。ここでもデジタル化は評価指標の対象とはなりません。デジタル化を望んでいるのは情報部門だけであり、他の現業部門が望んでいるのはデジタル化による「業務負担の軽減」であり、経営部門が望むのは「収益の向上」です。DXのガバナンスにおいて重要なのはステークホルダーにその目標と進捗をわかりやすく説明することです。単なるデジタル化はわかりやすくはありますが、説得力のある指標とはなりません。ただし、例外が2つあります。1つは他の評価システムと併用して相関を見る場合、例えば医師・看護師一人あたりの電子カルテ端末設置台数と超過勤務時間を平行してみるような場合です。最適な設置台数を図るための指標となりますので有用です。もう1つは、プロジェクトの進捗がはかれる場合です。プロジェクト終了までに10病棟に200台の電子カルテ端末を設置する予定であれば、どの病棟に何台入れたかは評価指標として有効です。
 システム停止やセキュリティインシデント、スケジュール遅延など、発生しうるリスクについてもできる限り想定し、対策を考えておきます。3.2.2 実施体制を示す
 目的を明確にして評価指標を示したら、それを実施する体制を示します。チームの編成は病院や組織の規模、人材によっても変わりますが最低限以下の2つが必要です。

  • 情報システム委員会の設置

    • 関連部門、組織の責任者を集めた会議体

    • 後で「聞いていない」と言われてトラブルが起きないように、関連する部門からできるだけ広く集めましょう。

    • 定例で会議を開いて進捗を報告します。病院だと全員がそろうことも難しいですが議事録を作成し、配布しましょう。

    • 議長は病院長など経営部門の有力者かCIOが主催することが望ましいです。

    • 組織内でのキーパーソンを抑えておくことが重要です。

  • プロジェクトを進行するための実務部隊を組織

    • システム導入から運用開始、そして定着するまでのすべてのプロセスに携わる部門です。

    • 病院情報部門が中心となり、医局や看護部のキーパーソン、オピニオンリーダーを抑えましょう。

    • 病院情報部門がない場合は組織内外から人材を集めます。必要となるスキルセットや経験などを考慮して、客観的に選任理由を示すことができるようにします。

    • あまり大人数になりすぎないようにしたほうがいいです。

    • 部門間の調整などは経営陣が行う前提で、適切に権限を委譲しておきましょう。

    • ベンダー側の担当者を含めるかどうかは難しい問題です。場合によってはベンダー側に不利益となる決断を行うこともあります。利益相反ともなりやすいため、ベンダー側の担当者とは適宜連絡を取りつつもチームとしては分けた方が無難ではあります。

  厚労省の医療情報システムの安全管理に関するガイドライン 第6.0版[5]ではガバナンス、マネジメント、オペレーションの3つに組織を分けていますが、病院ではマネジメント部門とオペレーションは同じチームになりやすいかと思います。病院や組織の規模によっては、経営陣の中かにCIO職を設置してDXに関する経営判断の一部を委託します。
 経営部門、病院長の責任において、誰が、どのチームがDXを主導していくのか、どのような責任と権限が与えられているのかを内外に示しましょう。DXプロジェクトの顔となる人をステークホルダーにわかりやすく実働部隊が導入を行う主体であっても、人材や予算の割り振り、部門間の調整は経営陣のガバナンスの役割です。

3.3 Monitor(観測)

 示した方向通りにDXプロジェクトが進行しているかをモニタして、評価プロセスにつなげていきます。
 モニタの対象は以下の3つです。

  • 見積もった効果は実現できているか

  • 割り当てた資源がどの程度使用されているか

  • 想定したリスクの発現状況

3.3.1 見積もった効果は実現できているか
 まず、Directで設定した評価指標を元にDXの達成度を計測します。
 「計測なくして改善なし」はDXにも通じる格言です。評価指標の中で何が達成され、どのような改善効果が見られるかについて検討しましょう。
 次に、DXで予定されていたスケジュール通りにDXが進捗しているかどうかを確認します。DXに必要なシステムは導入できているか、準備や運用について各所で周知できているのか、細かいことはマネジメントチームがチェックするにしても想定していた期限内にDXプロジェクトが完了するのか、遅延しているとしたら何が原因なのかについては調査する必要があります。
3.3.2 割り当てた資源がどの程度使用されているか
 予算が過不足なく執行できているか、チームに割り当てた人材は期待した役割を果たしているかを確認します。決定した予算に不足があるようであればどのような支出が問題なのか、余剰があるのであればスケジュール通りに納品などが進行しているかをチェックします。
 予算の使途が適正であるかどうかをチェックすることも重要です。額面通り執行されていても、想定した費目と異なるところに予算が支出されている場合にはそこに問題が隠れていることもあります。
 マネジメントチームが機能しているか評価することも重要です。役割を果たせていないようであれば、どのような理由があるのか。人手が不足しているのか、割り当てられた業務と人材の能力が適合しているのかをなど見極める必要があります。他部門との連携や調整が必要であれば、経営陣がガバナンスとして動く必要があります。
3.3.3 想定したリスクの発現状況
 想定したリスクがどの程度発生しているのかを調査します。
 法令遵守できているかどうかは事業継続の上で重要です。DXで決められた新しい業務ルールが徹底されているかについても確認する必要があります。
 DXにはリスクが伴いますが、想定された脅威に対してどのように記録ができているかはまず重要です。そうしたインシデントがきちんと報告され、現場で共有できているか確認しましょう。
 当初に算定した資産が守られているかどうかも確認が必要です。DXにともなって資産価値が減損していないかは注意深くモニタする必要があります。
 情報システムや情報の価値が減損していくことはあまり意識されないですが、古いシステムや情報は維持費がかかるだけの負債となっていることもあります。
3.3.4 モニタ結果の周知
 モニタした結果はDXに関係している人すべてで共有しましょう。進捗状況や課題を共有することはよりよい協力体制を作っていくことにつながります。
3.3.5 まとめ
 以上のように内容を継続的にモニタしていくことが重要ですが、さらに重要なのはモニタした内容を次の評価、指示につなげていくことです。当初設定した評価指標があまり役に立っておらず現状を反映していないということもよくあります。評価指標のために局所最適化が進んだ結果、全体的最適化の妨げとなることはあります。評価指標自体が意味がないということが後でわかったり、評価指標について調査するために時間と労力がかかりすぎているなどの問題もよく起こります。評価のための評価となっていては意味がありません。評価指標と現実がずれていると感じた場合には広く現場の意見を聴取して、運用状況を確認しましょう。評価指標自体を見直すことをおそれてはいけません。
 「測定なくして改善なし」とこの節の冒頭で述べましたが、それは正しい指標を正しく測定したときに限られます。

4. まとめ

 組織としてDXを行うためにはガバナンスが不可欠です。情報システムは導入されれば組織内の多くの人が利用するものですし、病院であれば大事な患者データを扱うものです。経営陣が明確な目的を示してそれを周知することは、DXの行方を見失わないために重要です。DXを進めるためには少なからず投資も必要です。その投資が有意義なものであることを経営陣は示す必要もあります。組織の価値、情報システムの価値、データの価値を高めていくためには適切なIT投資が必要であり、指標定めて評価しながら目標に向かって継続して投資を行う必要があります。
 ITガバナンスについてはいろいろな考え方があり、さまざまな方法論が検討されてフレームワークが開発されてきました。今回はEDMモデルに基づいたITガバナンスを紹介しましたが、COBIT-2019など有用なフレームワークもありますので興味のある方は引き続き学習してください。
 長文でかつ拙文で申し訳ありませんが、ここまで読んでくださりありがとうございました。あなたにとって、そして日本の医療DXに少しでもお役に立てれば幸いです。

参考文献

  1. 経済産業省、システム管理基準、2023年、https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kanri-2023.pdf

  2. 日本ITガバナンス協会, COBIT-5, https://www.itgi.jp/index.php/cobit5/cobit5

  3. 日本ITガバナンス協会、COBIT-2019,https://itgi.jp/index.php/cobit2019

  4. ISACA東京支部, https://www.isaca.gr.jp/

  5. 厚生労働省、医療情報の安全管理に関するガイドライン、2023年、https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html

  6. WHO, Digital implementation investment guide (‎DIIG)‎: quick deployment guide, 2022, https://www.who.int/publications/i/item/9789240056572

  7. ISO/IEC 38500, Information technology — Governance of IT for the organization, 2024

  8. 厚生労働省、病院経営管理指標、https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/igyou/igyoukeiei/kannri.html

  9. 厚生労働省、医療施設経営安定化推進事業、https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/igyou/igyoukeiei/anteika.html

  10. 経済産業省、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引、2023、https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html

  11. 村田 充、【初心者向け】SWOT分析とは?目的からやり方、活用のポイントまで、2024、https://www.innovation.co.jp/urumo/swot/

  12. Sprocekt編集部、なぜなぜ分析とは?3つの手順と5つのコツを解説、2022、 https://www.sprocket.bz/blog/20220519-5whys.html