◈ 논문 정보
•Kim, Seung Hyun, and Juhee Kwon. "How do EHRs and a meaningful use initiative affect breaches of patient information?." Information Systems Research 30.4 (2019): 1184-1202.
◈ 요약
IS 분야의 헬스케어 관련 논문을 접한 것은 처음이라서 낯선 용어들이 상대적으로 많았다. 미국에서는 헬스케어 분야의 규모가 훨씬 크기 때문에, EHRs(Electronic Health Records)의 MU(Meaningful Use) 개념이 중요하게 다뤄진다. EHRs은 효율적인 의료기록 관리를 가능하게 하지만, 한편으로는 환자 개인정보 침해 위험을 증가시키고, 이는 환자의 불신으로 이어져서 의료 서비스 질 쇠퇴를 초래할 수 있다. 따라서 개인정보 침해의 위험을 파악하고 문제를 미연에 방지하는 것은 매우 중요하다. 본 연구에서는 EHRs 도입과 MU initiative 이행이 환자 정보 침해에 어떻게 영향을 미치는지 분석하였다.
이 연구에서는 Human factor theory를 기반으로 하려 논지를 전개했다. 이 이론에 따르면 작업 환경에서 인간의 실수는 단순히 개인적인 차원의 문제가 아니라, 시스템적인 잠재 요인에 의해서 발생한다. 따라서, EHRs 도입으로 인한 문제는 개인적인 원인이 아니라 시스템적인 요소에 의해 발생하는 accidental breach일 수 있다. 한편, Routine activity theory에 따르면 일상에 구조적인 변화가 발생할 경우, 범죄자들은 새로운 기회를 포착하는 경향이 있다. 특히 EHRs 도입 시기에 올바른 통제가 이루어지지 않는 상황이라면, 이를 악용하는 malicious breach가 발생할 가능성이 높아진다. 또한 MU의 경우 3단계에 걸쳐서 이루어졌는데, 각 단계가 진행될수록 더 높은 수준의 EHRs 기준이 요구되기 때문에 시스템상의 허점이 발생할 확률이 높아진다. 따라서 본 연구에서 설정한 가설은 다음과 같다.
•H1 : EHRs 실행은 환자 정보의 accidental breach 위험을 증가시킨다.
•H2 : EHRs 실행은 환자 정보의 malicious breach 위험을 증가시킨다.
•H3 : 병원의 MU initiative 추구는 accidental breach 위험을 증가시킨다.
•H4 : 병원의 MU initiative 추구는 malicious breach 위험을 증가시킨다.
시각적으로 추세를 확인했을 때, EHRs 도입과 MU 시작 시점 이후로 정보 유출 사례가 증가하는 것을 확인할 수 있다. 그리고 본 분석에서는 Cox proportional hazards model을 사용했다. 처음 접하는 모델이어서 완벽하게 이해를 하지 못했는데, 이 모델에서는 일정 기간 내에서 사건이 발생하는 빈도를 파악한다. 이 식의 결과 값(estimated hazard ratio)이 1 이상이면, 유출의 위험이 높아진 것을 의미한다. 대부분의 독립변수 X는 time-varying 변수이다. 왜냐하면 각 병원마다 EHRs를 실시한 시기가 다르기 때문이다.
또한 EHRs의 실행은 내생성을 포함하고 있기 때문에, 2SLS 방법을 보완한 2SRI(2-stage residual inclusion) 모델을 사용하였다. 이 모델에서는 first stage의 잔차가 second stage의 추가 통제 변수로 사용된다. 따라서 첫 번째 단계에서 random effects probit model을 사용하여, EHRs 실행 여부와 MU 이행 여부에 대해서 추정을 하였다. 그리고 추정 값과의 잔차를 두 번째 단계에서 변수로 사용했다. 또한 도구 변수로 (1) state-level adoption rate of EHRs / (2) state-level undertaking of MU initiative / (3) the last month of the fiscal year를 사용했다. 또한 선행 연구를 참고하여, 병원의 규모(병상 수)/디지털화 여부(ERP, cardiology IS 등)/privacy notification law 실행 여부/병원 지출을 통제변수로 사용하였다.
위의 분석 결과를 살펴보면, 2번째 열인 2SRI 결과에서 EHRs 여부만 유의한 변수로 나타났으며 이는 breach의 위험이 3.08배 증가한다는 것을 의미한다. 한편, MU는 유의하지 않음을 확인할 수 있다. 3,4번째 열에서 breach 종류에 따라서 살펴보았을 때, EHRs와 MU 모두 accidental breach를 유의미하게 증가시켰으며, malicious breach와는 관계가 없음을 알 수 있다. 사용된 통제변수와 관해서, ERP 도입 여부가 유의미하게 breach를 증가시키는 변수로 나타났다. 병원의 규모를 나타내는 병상 수도 breach의 위험을 증가시키는 것으로 나타났다. 이 결과를 통해서 실제 경제적인 규모를 추산해 본 결과, 정보 유출로 인한 손실이 EHRs로 인한 이익을 초과할 수도 있다는 결과가 나타났다.
◈ 장점 및 의의
•이 연구는 실무적으로 유의미하고 합리적인 결과를 도출했으며, 연구 주제의 시기도 적절했다. accidental breach가 많이 발생했다는 것은, 병원에서 자체적으로 이를 통제할 수 있고, 정책 입안자의 입장에서도 고려할 수 있는 부분이다. 5.2 Economic Impact를 통해서도 구체적인 수치를 제시함으로써, 이 논문의 implication을 강화하였다.
• 김승현 교수님이 저자이셔서, 작성 과정에서 이슈들을 직접 들을 수 있었다. 특히 주 분석 방법론을 아예 바꿨고,
점점더 EHR을 도입하는 추세이기 때문에, treatment 그룹이 커져서 매칭 하는 과정에서 어려움이 많았다고 한다. 실제로 로 accpet 되기까지 시간이 굉장히 오래 걸렸다. 역시 탑저널에 좋은 논문을 싣는 건 보통 작업이 아니라는 것을 다시 한번 느꼈다...
• Cox proportional hazards model :
생존분석 기법 중 하나. 종속변수가 시간일 때에는 OLS의 기본 가정을 충족하지 모하는 경우가 많음. 따라서 이를 해결하기 위한 기법 중에 하나로 생존분석을 많이 사용함(특히 의료 분야). 모델 사용 시 가정사항이 없기 때문에, time to event 관련된 분석을 할 때 IS 분야에서는 자주 사용된다.
→ 키워드 : Cox Model, 생존분석
• 2SLS vs 2SRI
2SLS : 도구 변수의 예측값(predicted value)을, 두 번째 단계의 독립변수로 넣는다
2SRI : 도구 변수에서 나타난 잔차(residual)를, 두 번째 단계에서 control variable로 추가하는 것
◈ 한계점 및 추가 연구 아이디어
• accidental & malicious breach를 정확하게 파악하는 데에는 한계점이 있다고 생각한다. 특히 accidental breach의 경우 의도하지 않은 것이기 때문에, 의료 서비스 제공자나 환자가 인지하지 못하는 경우도 다수 발생할 수 있다고 생각한다. 논문에서 언급한 사례에는 misplaced computer, laptop, portable data storage device 등이 있다. 법적으로 강요되기는 하지만, 충분히 숨길 유인이 있기 때문에 데이터에는 모두 반영이 안 될 수도 있다.
하지만 모든 breach를 정확하게 파악하는 데에는 현실적인 한계가 있기 때문에 이 논문에서는 최선의 방식으로 데이터를 수집하였다고 판단된다. 또한, 이를 반영한다 하더라도 논문의 결과는 그대로 유의하게 나타날 것이다. 오히려 효과의 크기가 더 강하게 나타날 것이기 때문에 critical한 문제는 아니라고 생각한다.
댓글