病院情報システム「保守延長」という選択肢とどう向き合うか

物価上昇や人件費の高騰が続く中、病院情報システムの更新判断は、これまで以上に重要な経営課題となっています。本稿では保守延長を1つの暫定策と位置づけつつ、その是非を見極めるための視点を整理します。

要点

• 保守延長には、ハード老朽化・セキュリティ・制度対応・保守体制弱体化の4つの主要リスクが累積する。
• 保守延長は短期的コスト抑制に見えても、技術的負債・人的負債・制度対応遅延など“遅延コスト”が増大し、将来の更新コストを押し上げる可能性がある。
• 更新判断には、医療継続性・コンプライアンス・セキュリティ・運用負荷・財務妥当性の5つの視点が不可欠であり、延長と同時に次期更新計画を進める必要がある。

コスト抑制と医療継続性の間で、経営が問われる判断軸

物価上昇や人件費の高騰が続く中、病院情報システム（以下HIS）の更新判断は、これまで以上に重要な経営課題となっています。一般的に更新サイクルは5～7年が目安とされますが、近年は更新費用が前回比で約2倍に達する試算もあり、従来のように計画通り予算を確保することが難しくなっています。その結果、「できる限り現行システムを延命したい」という現場ニーズが強まり、「保守延長（延長サポート）」の検討が広がっています。

しかし、保守延長は、単なる「費用削減策」ではありません。サービス品質、安全性、制度適合など、複数領域に影響を及ぼす経営判断です。本稿では、延長を1つの暫定策と位置づけつつ、その是非を見極めるための視点を整理します。

1. 保守延長が抱える4つの主要リスク

① ハードウェア老朽化
導入から 5～7 年が経過すると「摩耗故障期」に入り、突発障害リスクが増加します。部品製造は製品発売後5年程度で終了することが多く、調達遅延や在庫切れが発生します。メーカーサポートが終われば中古市場依存となり、調達の不確実性はさらに高まります。加えて、稼働年数の増加に伴いデータ量が膨らみ、容量逼迫（ひっぱく）やレスポンス低下も懸念されます。

② ソフトウェア・セキュリティのリスク
OS やミドルウェアがサポート終了（EOL/EOS）となると、脆弱（ぜいじゃく）性が放置されたままになります。医療機関へのランサムウェア被害が増える中、旧環境を使い続けるリスクは看過できません。厚生労働省の「医療情報システムの安全管理に関するガイドライン」でも、サポート切れ OS の利用は推奨されていません。

③ 制度・法令対応の制約
2年ごとの診療報酬改定に加え、オンライン資格確認、電子処方箋など、医療DX関連の制度変更は加速しています。システムが旧版化すると改修難度が上がり、制度対応の遅れがコンプライアンスや医療継続性に影響する可能性があります。

④ 運用・保守体制の弱体化
旧版システムに対応できる技術者は年々減少し、障害対応の速度や品質が低下します。第三者保守の活用も1つの方法ですが、制度変更やソフト改修は守備範囲外であり、運用の不安定さを完全に解消できるわけではありません。

2. 見落とされがちな“遅延コスト”

保守延長は短期的なコスト抑制には有効ですが、「延ばすほど負債が積み上がる仕組み」を理解しておく必要があります。

• 技術的負債の増大：陳腐化が進むほど、次期更新時の移行難度・費用が上がる
• 人的負債の蓄積：旧技術維持にリソースを割くことで、新規施策が後回しになる
• 制度・技術進化への対応遅延：業務効率や収益機会の損失につながる
• ベンダー選択肢の縮小：更新時の交渉力低下を招く

つまり延長は「目の前の費用を抑える代わりに、後ろ側で見えないコストが積み上がっていく構造」です。こうした構造を踏まえると、自然に次の問いが浮かびます。

「では、延長を検討する上で、経営は何を軸に判断すべきなのか」。その答えの1つが、次章の「5つの視点」です。

3. 経営判断に必要な5つの視点

① 医療継続性（Medical Continuity）
RTO／RPO、代替運用の現実性、障害増加リスクを踏まえ、延長した場合「どこまで止まれるか」「どれだけのデータ喪失を許容できるか」を評価します。

② コンプライアンス適合性（Regulatory Fit）
診療報酬改定や医療DX施策に対して、旧版環境で遅延や追加コストの有無、度合いを確認します。

③ サイバーセキュリティ耐性（Cybersecurity Posture）
EOL製品の脆弱性、VPN脆弱性、旧プロトコルの使用、ログ機能の不足などを評価し、「攻撃される前提」で対策の十分性を見極めます。

④ 現場運用負荷（Operational Impact）
遅延・不安定化による業務影響、障害対応増、紙対応や二重入力の発生など、医療提供に支障が出ないかを判断します。

⑤ 財務妥当性（Financial Logic）
延長費用だけでなく、障害・制度遅延・セキュリティ事故時の被害想定、将来移行難度、TCO 変化まで含めて総合比較します。

4. 実務的なコントロールは “個別最適” が不可欠

保守延長には、ハード部品確保、バックアップ強化、運用見直しなど多様な対策があります。しかし最適解は、病院規模、システム環境、保守状況、制度対応レベル、セキュリティ成熟度によって大きく異なります。

• どこまで対策すべきか
• どこは割り切るべきか
• どこに予算を振り向けるか
• どのタイミングで更新するか

これらは個別状況を精査しない限り誤る可能性が高く、画一的なチェックリストでは不十分です。
当法人では、延長可否評価、リスク診断、優先施策整理、ベンダー交渉設計など、プロフェッショナルによる個別支援を提供しています。

5. 次期更新に向けた計画は“延長と同時並行”で

保守延長はあくまで「時間を買う」暫定策です。その時間は、次期HISの移行計画策定や予算確保に充てる必要があります。延長を決めた瞬間から、更新計画を同時に動かすことが賢明です。

結論

保守延長は短期的には合理的に見えますが、老朽化、セキュリティ、制度適合、保守体制の弱体化といったリスクは確実に蓄積します。更新判断は単なる費用問題ではなく、医療継続性・経営の持続可能性・病院の将来像をどう守るかという経営判断そのものです。

延長を選ぶ場合も、更新を選ぶ場合も、必要なのは「現状の正確な診断」と「戦略的なロードマップ」です。

当法人では、延長可否評価、次期システム構想策定、ベンダー交渉支援など、医療機関に合わせたアドバイザリーサービスを提供しています。保守延長や更新計画に不安や疑問がある場合は、ぜひご相談ください。

【共同執筆者】

稲田雄介
EY新日本有限責任監査法人　FAAS事業部　シニアマネージャー

大手ITベンダーおよびプロフェッショナルファームでの豊富な経験を基に、医療機関向け病院情報システムの導入支援をはじめ、医療情報システムを中心とした省庁・自治体・大学・公的機関へのコンサルティングを多数実施。