医療ITのためのITSM：何が違うのか、どう正しく進めるか

午前2時に看護師がEHRにログインできなければ、それはITの不便ではありません。患者の安全に関わる事象です。臨床スタッフは紙に戻り、投薬履歴へのリアルタイムアクセスを失い、主治医は最新の検査結果なしに判断を下さなければなりません。一分一秒が重要です。

これが、医療ITSMが他のあらゆる業界とは別格である理由です。医療機関は2025年に世界全体でITに2,795億ドルを費やしており、そのうち約48%がITサービスに充てられています。この投資規模はリスクの大きさを反映しています。医療ITは業務の付随物ではなく、臨床インフラそのものです。

病院、クリニックネットワーク、医療システムのITサービス提供を管理しているなら、標準的なITSMの手引きは完全には当てはまりません。このガイドでは、何が本質的に違うのか、なぜその違いが重要なのか、そして臨床システムを安定稼働させるITSM実践をどう構築するか（AIがコンプライアンスリスクを生じさせずにどう機能するかを含め）を解説します。

医療ITSMが違う理由

多くのITサービス管理ガイドは、インシデント分類、SLAターゲット、チケットルーティングについて述べています。医療においてもそれらは重要です。しかしコンテキストがまったく異なります。

一般的な企業ではITの停止はコストがかかり混乱を招きますが、医療では同じ停止が救急対応の遅延、ICUモニタリングの中断、薬剤師による薬物相互作用確認の阻害につながる可能性があります。リスクの大きさは、インシデントの優先度の付け方からオンコールローテーションの組み方まで、あらゆるものを変えます。

医療におけるITSMとは、患者ケアの提供を直接支えるITサービスを管理することであり、ノートパソコンを動かしたりプリンターをオンラインに保つだけではありません。管理対象のシステムには、EHRプラットフォーム、患者モニタリング機器、診断画像システム、検査システム、ネットワーク接続された医療機器が含まれます。これらのいずれかが故障すると、臨床ワークフローが崩壊します。

この違いを理解することが出発点です。以下の5つの課題は、その違いが最も具体的に現れる領域です。

医療ITSMの5つの核心的課題

1. 患者アウトカムに直結した24時間365日の稼働

医療はSaaS企業のようなメンテナンスウィンドウを設けることができません。救急部門、ICU、手術室は途切れなく稼働しています。EHRアクセス、患者モニタリング、投薬管理を妨げるITシステムの故障は、即時に臨床上の影響をもたらします。

これにより、SLA要件は根本的に異なります。医療における重大な臨床システムインシデントは、通常5〜15分以内の受付確認と1〜4時間以内の解決が求められます。標準的なビジネスITでは30分から8時間と比べると明らかです。EHRシステムと検査ソフトウェアは継続的な稼働が必要であり、アクセスの問題が発生した場合、ITSMは緊急度に基づいてインシデントを優先し、臨床上の障害が最初に対処されるようにします。

実際の影響として、医療ITチームは常時オンコール体制で稼働します。その負担はスタッフの燃え尽き率に現れます。詳しくは後述します。

2. クリーンな解決策のないHIPAAコンプライアンス

医療ITSMにおけるより厄介な現実の一つは、少なくともベンダーが宣伝するような意味での「HIPAA準拠」のチケッティングシステムというものが存在しないことです。現場経験のある医療プライバシーオフィサーは、Redditのディスカッションでこう率直に述べています。「HIPAA準拠と謳うチケッティングシステムを見かけても、無視してください。HIPAA準拠のチケッティングシステムなど存在しません。」

実際に存在するのは、リスクをまとめて低減するための複数の管理策の組み合わせです。ベンダーとのBusiness Associate Agreement（BAA）、保存中・転送中のデータ暗号化、ロールベースアクセス制御、詳細な監査証跡、そして侵害通知手順です。FreshserviceやServiceNowはBAAに署名しますが、コンプライアンスはそれらのプラットフォームがどう設定されるか——特定機能の無効化、SAML SSO の強制、保護対象医療情報のデータマスキングの実装——に大きく依存します。

システム変更の追跡、監査ログの保持、一貫したアクセス制御の適用はすべて強固なITSMフレームワークの一部であり、HIPAAのような標準への準拠において重要な要素です。しかし、実際のコンプライアンスを決めるのはソフトウェアの認証ではなく、組織の実践です。

3. EHRと医療機器の複雑さ

医療ITは、他のほとんどの業界には存在しないシステムカテゴリを管理しています。電子健康記録（EHR）プラットフォームはあらゆる臨床環境において最も重要なシステムであり、患者の病歴、現在の投薬、アレルギー、診断結果、ケアプランの情報源です。EHRアクセスが失われると、組織は紙のカルテへの回帰を余儀なくされ、危険な情報のギャップが生じます。

EHRを超えて、医療ITは数百のネットワーク接続された医療機器をサポートしています。患者モニター、輸液ポンプ、人工呼吸器、診断機器、検査分析機器などです。ITSMはこれらの資産のライフサイクル全体を支援します。ステータス追跡、メンテナンスのスケジューリング、サービス履歴の管理を通じて、必要な時に利用可能であり、故障前に交換できるようにします。

医療IT専門家のRedditディスカッションでは、EHR統合が持続的な複雑さの原因として繰り返し取り上げられます。「最大の課題はスタッフの変化への抵抗、不十分なトレーニング、データ移行の問題、ワークフローの混乱です」——EHRシステムを導入する際のそれらの課題は、まさにITが管理すべきものとして降りかかってきます。

4. サイバーセキュリティの脅威拡大

医療に対する脅威の状況は劇的に悪化しています。2024年には、500件以上の記録を含む大規模な医療データ侵害が725件HHSに報告されており、ほぼ毎日2件の侵害が発生している計算です。医療へのランサムウェア攻撃は2018年1月から2023年9月の間に278%増加し、Health-ISACは2025年に医療サイバーセキュリティインシデントが8,903件に上り、2024年の5,744件から55%増加したと報告しています。

財務的な影響は深刻です。医療データ侵害の平均コストは742万ドルであり、14年連続で全業種中最高です。金融サービス（608万ドル）や製造業（556万ドル）を大幅に上回ります。HIPAA違反には1件あたり141ドルから2,134,831ドルの民事罰則が科され、HHS OCRは2024年だけで1,284万ドルの罰金を科しています。

ITSMはサイバーセキュリティ対応に直接的な役割を果たします。医療機関はサイバー脅威に特に脆弱であり、医療記録や重要な医療機器へのアクセスを阻害することで患者の安全を著しく損なう可能性があります。ITSMフレームワークは、セキュリティチームが迅速に対応しコンプライアンスを証明するために必要なインシデント対応、変更管理、監査証跡のインフラを提供します。

5. 人員不足と燃え尽き

医療ITは人によって支えられており、その人材が去っています。24時間365日環境でのオンコール需要は、ビジネスITとは根本的に異なります。医療ITの専門家は、オンコールを実質的に24時間365日の待機状態と表現しており、多くのIT専門家が想定する緊急時のみのモデルではありません。

ある医療のシステム管理者は週45枚のチケットを処理しながら、同時に4つの部門横断プロジェクトを管理していると述べています。24時間365日のオンコールがメンタルヘルスに与える影響は、システム管理者コミュニティで最もよく議論されるスレッドの一つとなっており、医療環境が最も過酷な職場として特に挙げられています。

その結果、離職率が高く経験豊富なスタッフの補充が困難です。医療の経営幹部の80%以上が今年、採用難を含む重大な外部労働力課題を予測しており、IT部門に直接波及する危機となっています。

医療向けに適応したITSMフレームワーク

医療機関が使う2つの主要フレームワークはITIL 4とCOBITですが、どちらも医療特有の適応が必要です。

ITIL 4のサービスライフサイクルは確かな基盤を提供します。医療機関が最も重視するのは、インシデント管理（臨床緊急度ベースの分類）、変更管理（臨床業務を妨げない変更ウィンドウ）、問題管理（繰り返し発生するEHR問題の根本原因分析）、ナレッジ管理（臨床ワークフロー、機器設定、トラブルシューティング手順の文書化）です。

鍵となる適応はインシデント分類にあります。標準的なITILの優先度マトリクスは影響度と緊急度を抽象的な指標で使います。医療では異なる観点が必要です。患者に直面する臨床システムが影響を受けているか？現在進行中の患者ケアが妨げられているか？プリンターの停止は多くの環境で低優先度ですが、薬局やナースステーションでは即時エスカレーションが必要な場合があります。

SLA定義を含むサービスカタログは、臨床スタッフがITサービスにアクセスしやすくし、受付確認と解決に関するITからのコミットメントを理解しやすくします。そのカタログを臨床部門中心に構築し、システムの種類ごとに「重大」の意味を明確に伝えることは、医療ITチームができるITSMへの最も効果的な投資の一つです。

医療ITサービスデスクが実際に管理するもの

医療ITのチケットカテゴリは、ほとんどの社内ヘルプデスクチームが扱うものとは異なります。リクエストの量と性質を把握することは、リソース配分と自動化の判断において不可欠です。

EHRと臨床アプリケーションのサポートは最高優先度のカテゴリです。アクセスの問題、パフォーマンスの問題、統合の失敗、ユーザーワークフローの質問が含まれます。一般的なITスキルだけでなく、臨床システムの知識を持つITスタッフが必要です。

医療機器管理は、診断機器、患者モニター、検査分析機器の接続問題、ファームウェア更新、機器のプロビジョニング、メンテナンスのスケジューリングをカバーします。標準的なITハードウェアとは異なり、医療機器には専門的なサポート要件と規制上の文書化義務があります。

IDとアクセス管理は、臨床医の認証情報管理、ロールベースのアクセスプロビジョニング、出張臨床医への一時アクセス、アクセス失効を担います。HIPAAの文脈では、アクセス制御は運用上の好みではなくコンプライアンス上の義務です。

ネットワークとインフラは、臨床システムのネットワーク可用性、遠隔ケア環境への接続性、テレメディシンプラットフォームのサポート、患者ケアエリアでの無線カバレッジを包括します。臨床環境はオフィス環境よりも高い可用性基準が求められます。

セキュリティインシデント対応は、ランサムウェア、フィッシング、不正アクセス試行、侵害通知ワークフローに対処します。これらのインシデントは法令上の必須対応を引き起こし、法務・コンプライアンスチームとの連携が必要です。

医療向けITSMツールの選択肢

医療ITチームに関連するツールのティアは3つあり、組織の規模と現在のITSM成熟度によって異なります。

ServiceNow

米国トップ40の医療機関の半数がITSM運用にServiceNowを信頼しており、同プラットフォームは医療顧客から100点中90.7点のKLAS評価を獲得しています。ServiceNowの医療特化モジュールには、Healthcare and Life Sciences Service Management、臨床機器向けITAM、そして臨床スタッフがEMRを離れずにITリクエストを管理できるEpic EHR統合が含まれます。

ServiceNowはBAA、AES 256ビット暗号化、ロールベースアクセス制御、包括的な監査ログによってHIPAAコンプライアンスをサポートします。また、HITRUST CSF、FedRAMP、GDPR、SOC 2、ISO/IEC 27001もサポートしており、大規模医療システムが必要とするコンプライアンススタック全体をカバーします。

トレードオフは実装の複雑さです。ServiceNowは通常6〜12ヶ月の導入期間、カスタムライセンス交渉、継続的な管理のための専任内部チームが必要です。代替案を検討している場合は、2026年のServiceNow AIの最良代替案をご覧ください。

Freshservice

Freshserviceはコストパフォーマンスと迅速な導入を重視して、中規模の医療機関向けをターゲットにしています。Western Sussex Hospitals NHS Foundation Trustの事例では何が可能かを示しています。待ち時間は15分から16秒に短縮され、初回解決率は55%から91%に改善し、セルフサービスの採用率は10%から42%に上昇しました。

標準的な価格は月額19ドル/エージェントから始まりますが、HIPAAコンプライアンスにはEnterpriseプランと必須の設定——IPホワイトリスト、SAML SSO、カスタムメールサーバー、SSL証明書、データマスキング、Freshconnectコラボレーション機能の無効化——が必要です。HIPAA Journalによると、これらの設定要件を満たさないとBAA全体が無効になる可能性があります。

FreshserviceのFreddy AI Agent（Enterpriseプラン）は、Slack、Teams、メール、エンドユーザーポータル全体でITリクエストをエンドツーエンドで解決する会話AIを提供します。Freshserviceを評価しているチームには、2026年のFreshserviceの最良代替案で競合状況をカバーしています。

Jira Service Management

Atlassianエコシステムにすでにいる医療機関にとって、Jira Service Managementは有力な選択肢です。Premiumプラン（月額51.42ドル/エージェント）には変更管理、AIOps、バーチャルサービスエージェントが含まれ、Jira Softwareが既存の開発プラットフォームであるチームにとって完全なITSM機能セットを提供します。

AIが医療ITSMをどう変えているか

医療ITSMにおけるAI自動化は、他の業界とは異なる方法で機能する必要があります。自信を持って間違った答えを出すAIを許容するにはリスクが大き過ぎます。

うまく機能するのは階層的なアプローチです。AIが量の多い定型的なリクエストタイプを処理し、臨床的判断やコンプライアンス上のセンシティビティが必要なものは人間が処理します。AIを活用したチャットボットは、医療機関からの一般的な質問（パスワードリセット、アクセスの問題、研修スケジューリング）を処理し、ITサービスデスクへの負担を軽減できます。一方、人間は複雑なインシデントに集中できます。

AI対応のITSM機能を使用する組織は平均30.5%速くチケットを解決し、トップ採用者は平均解決時間を51時間から23時間に短縮（54.3%削減）しています。このような効率化は、ITチームが慢性的に人員不足で過負荷になっている医療の文脈では非常に重要です。自動化パターンの詳細についてはIT サービス管理にAIが実際にどう機能するかをご覧ください。

医療ITで最高の効果をもたらす具体的な自動化対象は以下の通りです。

パスワードリセットとアカウントロック解除。これはあらゆるITSM環境で最も一般的なチケットタイプであり、安全な自動化対象です。臨床的判断は不要で、量が多く、ワークフローが予測可能です。パスワードリセットの自動化だけで、第1層チケット量を20〜30%削減できます。

**ソフトウェアアクセスのプロビジョニング。**新スタッフのプロビジョニング、役割変更、一時アクセスのリクエストは定義されたワークフローに従います。IT チケットの自動化はエージェントの関与なしにこれらのリクエストタイプを処理し、プロビジョニング時間を数時間から数分に短縮します。

**ナレッジ管理。**AIはチケットのトリアージ中に関連するナレッジベースの記事を表示し、ギャップ（KBが対応していないチケットが来ているところ）を自動的に特定し、解決済みチケットから新しい記事の下書きを作成できます。適切に管理されたナレッジベースは医療ITセルフサービスの基盤です。

**インシデントトリアージ。**AIは受信チケットを読み取り、種類と臨床的影響で分類し、適切なチームまたはオンコール担当者にルーティングできます。これにより重大インシデントのルーティングまでの時間が短縮され、技術的な複雑さだけでなく臨床的な緊急度が優先度付けに反映されます。

「ジラのヘルプデスクチケットへの最初の対応者として使っています。本当にエージェントがするように動いてくれます。」

• Jason Loyola、Head of IT、InDebted

医療ITSMを正しく進める：実践的な原則

うまく機能する医療ITSM実装には、一貫して見られるいくつかのパターンがあります。

**高度な機能を加える前に基盤を構築する。**多くの医療IT部門は基本的な資産台帳さえ持っていません。これはコミュニティで繰り返し文書化されている課題です。管理しているシステムを把握せずに、ITILベースの変更管理や予防的モニタリングは理想論に過ぎません。まず資産台帳から始め、次にインシデント管理プロセスに移行し、その後で予測機能を加えましょう。

**インシデントを技術的な重大度だけでなく、臨床的な影響で分類する。**臨床エリアでの低速なプリンターは、管理部門のアプリケーションエラーよりも高い優先度になる場合があります。どのシステム、どの臨床ワークフロー、どの患者集団が影響を受けているかを明示した臨床的影響評価を含むインシデント優先度マトリクスを構築してください。

**ナレッジ管理は一度きりのプロジェクトではなく、継続的な運用業務として扱う。**ナレッジベースは、臨床ワークフロー、EHR設定、医療機器設定が頻繁に変わるため、他の環境よりも早く劣化します。ナレッジベースのメンテナンスに所有者を割り当て、チケットのパターンからギャップを自動的に表面化するAIツールを使用してください。フレームワークについてはITSMのナレッジ管理のベストプラクティスをご覧ください。

**最初からHIPAA要件をワークフローに組み込む。**既存のITSM実装にコンプライアンス管理を後付けするのは、コンプライアンスを念頭に置いて設計するよりも大幅に難しくなります。PHIが含まれる可能性のあるチケットカテゴリを文書化し、それに応じてアクセス制御を実装し、規制当局が求めるものを監査証跡が記録していることを確認し、すべてのベンダーのBAA適用範囲を定期的に見直してください。

**チームを守る。**医療ITにおける人員不足と燃え尽きの危機は現実です。日常的なチケットのAI自動化は、部分的に患者の安全への投資（重大な問題への迅速な対応）であり、部分的にスタッフの福祉への投資（夜勤をカバーする人々の負担軽減）です。両者は相反しません。ITチケットの自動化によるパスワードリセットやアクセスリクエストの大規模処理は、オンコールスタッフへの負担を直接軽減します。

医療ITサポートにeesel AIを試してみる

eesel AIは、移行作業を必要とせず、既存のITSMプラットフォーム——Jira Service Management、Freshdesk、Zendesk、またはServiceNow——の上に重ねて使えるAI層です。医療ITチームにとっては、6ヶ月の実装プロジェクトなしに、AI搭載チケットのトリアージ、ナレッジベース検索、大量リクエストタイプの自律解決を追加できることを意味します。

医療環境に特に関連する理由として、eeselは信頼度ベースのエスカレーションを採用しており、AIは高い確信度を持つチケットのみを処理し、それ以外はすべて人間によるレビューのためにフラグを立てます。本番稼働前に90日分の過去チケットでシミュレーションを実行し、AIが解決したであろうものとどこで誤りが生じたかを正確に確認できます。驚きはありません。

EnterpriseプランにはHIPAAコンプライアンスとBAA対応が含まれており、月額1,000ドル固定プラス使用料です。毎月500件以上のITチケットを処理するチームにとって、計算上は回避できたオンコール1時間のコストよりも大幅に低くなることが多いです。50ドルの無料トライアルから始めてみてください。クレジットカード不要です。