선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 이 연구의 목적은 의료기관에서 구성원에 대한 정보보호교육이 정보보호 활동을 증가시킨다는 실증을 통해, 의료기관에서 정보보호교육을 활성화할 수 있는 근거를 마련하고자 하였다. 이 연구의 주요 결과는 다음과 같다.
- 이에 본 연구는 의료기관에 대해 기술적 정보보호 조치는 법에 따라 수행하였다는 전제 하에 기술적 물리적 정보 보안 요인은 통제하고, 조직 구성원들의 정보 보호 인식 제고를 위한 정보보호 교육을 실시할 경우, 조직 구성원들의 정보보호 생활화 참여 정도를 실증하여 의료기관들의 정보보호교육을 촉진할 수 있는 근거를 마련하고자 한다.
제안 방법
- 보정변수는 의료기관종별, 직종, 지역을 포함하었다. 의료기관변수는 종합병원(상급종합병원, 종합병원), 병원(병원, 한방병원, 치과병원), 의원(의원, 한의원, 치과의원)으로 구분하고 있으며, 직종은 경영진(병원 경영진, 의원은 의사), 의료인(병원 의사, 간호사, 임상병리사, 방사선사, 약사 등), 행정직(전산직을 제외)으로 구분하였고, 지역의 경우 metropolitan(서울), urban(부산, 인천, 대구, 광주, 대전, 울산, 세종), rural(도 지역)로 구분하였다.
- 각 기관별로 직원들에게 실시하는 정보보호교육에 대한 교육 실시 횟수를 설정하였다. 조사된 원 자료에서는 각 의료기관내 교육 대상 직원을 7개 직종(경영진, 의료인, 약사 의료기사 등 진료지원부서인력, 행정직, 전산직, 용역직, 기타)으로 분류하고, 각 직종별 교육 실시 횟수를 교육을 한번도 안 한 경우, 한번만 한 경우, 두 번 이상으로 조사하여, 정보 보호 교육이 실시된 직종 중 교육 횟수가 최소인 값을 기관의 교육 횟수로 보정하였다.(모든 직종에서 교육을 받지 않은 경우, 교육을 한번도 안 한 경우로 보정)
- 각 의료기관에서 조직 구성원들이 실천하고 있는 정보 보안 항목의 실천 개수를 설정하였다. 조사된 원 자료에서는 각 의료기관내에서 조직 구성원들이 실천하여야 할 정보 보안 항목을 아래와 같이 11개로 제시하고, 각각의 항목에 대해 실천여부를 조사하여, 본 연구에서는 실천한다고 답한 항목의 개수를 해당 의료기관의 정보 보안 실천 항목의 개수로 보정하여 사용하였다.
대상 데이터
- 본 연구에서는 2017년 한국보건산업진흥원이 실시한 「2017년 보건의료정보화 현황조사」 자료를 2차 활용하여 분석을 실시하였다. 이 자료는 한국보건산업진흥원이 건강보험심사평가원의 2016년 12월 기준 의료기관전체 리스트 중 약국과 조산원을 제외한 의료기관을 전체 모집단으로 하여 상급종합병원과 종합병원은 전수 추출하고, 병원은 심사청구건수 기준으로 제곱근 비례 배분하고 종합병원 및 치과병원의 경우 표본설계과정에서 국군 및 경찰병원을 제외한 전체 규모를 반영하여 표본을 추출하였다.
- 본 연구에서는 2017년 한국보건산업진흥원이 실시한 「2017년 보건의료정보화 현황조사」 자료를 2차 활용하여 분석을 실시하였다. 이 자료는 한국보건산업진흥원이 건강보험심사평가원의 2016년 12월 기준 의료기관전체 리스트 중 약국과 조산원을 제외한 의료기관을 전체 모집단으로 하여 상급종합병원과 종합병원은 전수 추출하고, 병원은 심사청구건수 기준으로 제곱근 비례 배분하고 종합병원 및 치과병원의 경우 표본설계과정에서 국군 및 경찰병원을 제외한 전체 규모를 반영하여 표본을 추출하였다. 의원은 진료과목별 지역별 의료기관규모를 고려하여 층화효과를 반영한 표본을 추출하여 표본규모를 2,000개로 설계하고 의료기관 7,033개를 접촉하여 2,002개의 의료기관에서 조사를 성공(응답율 28.
데이터처리
- 이 연구는 의료기관 전체를 모집단으로 하여 추출한 표본 의료기관을 대상으로 의료기관 종사자별(경영진, 의료인, 행정직 등)로 실시된 정보보호교육횟수와 소속 직원의 정보화보안실천항목(11가지항목, 종속변수에서 기술)의 실천하고 있는 갯수를 조사하여, 정보보호교육횟수와 정보화보안실천항목실천갯수와의 관련성을 카이제곱 검정(chi-square test)을 통해 우선 확인하고, 다중 회귀 분석(multiple regression analysis)을 사용해 다변량 분석을 실시하였고 추가적으로 의료기관 규모별 정보보호교육횟수와 정보보안생활실천개수를 다변량 로지스틱 회귀 분석(multivariate logistic regression analysis)을 사용하여 분석하였다. 자료의 정리와 통계분석은 SAS9.
- 이 연구는 의료기관 전체를 모집단으로 하여 추출한 표본 의료기관을 대상으로 의료기관 종사자별(경영진, 의료인, 행정직 등)로 실시된 정보보호교육횟수와 소속 직원의 정보화보안실천항목(11가지항목, 종속변수에서 기술)의 실천하고 있는 갯수를 조사하여, 정보보호교육횟수와 정보화보안실천항목실천갯수와의 관련성을 카이제곱 검정(chi-square test)을 통해 우선 확인하고, 다중 회귀 분석(multiple regression analysis)을 사용해 다변량 분석을 실시하였고 추가적으로 의료기관 규모별 정보보호교육횟수와 정보보안생활실천개수를 다변량 로지스틱 회귀 분석(multivariate logistic regression analysis)을 사용하여 분석하였다. 자료의 정리와 통계분석은 SAS9.4로 처리하였다.
성능/효과
- 둘째, 정보보호교육의 횟수가 증가하면 할수록 조직구성원들의 정보보호활동 참여가 늘어난다는 것을 알 수 있었다. 회사에서 실시하는 정보보호에 관련된 교육은 직원들의 인식에 직접적인 효과가 있다는 것이다.
- 또한, 의료기관 내 직종별(경영진,의료진,행정직)로 실시된 정보보호교육이 직원들의 정보보호 활동에 영향을 미치는지를 확인한 결과, 정보보호교육을 경영진이 받은 경우, 안 받을 경우에 비해 0.806개(B: 0.806, 95%CI: 0.201-1.411, p: 0.009)로 높았고, 안 받은 경우 대비 의료진이 교육을 받으면 0.093개(B: 0.093, 95%CI: -0.567-0.753, p: 0.783), 행정직은 0.765개(B: 0.093, 95%CI: 0.018-1.152, p: 0.045)로 나타났으며 모형적합도 결과 AIC(Akaikeʼs Information Criterion)는 9609.8로 나타났다.<표 3>
- 셋째, 의료기관 경영자들에게 정보보호교육을 실시할 경우, 조직구성원들의 정보보호활동의 참여가 증가하는 것을 알 수 있었다. 이는 정보보호에 대한 최고경영층의 리더십이 높은 조직은 그렇지 않은 조직에 비해 정보보호 교육 및 훈련, 정보보호 정책수립활동이 큰 차이가 있고 [30] 공공기관에서 최고경영층의 지원이 정보보호 거버넌스에 크게 영향을 미치고 정보보호에 있어서 가장 중요한 요인임을 확인[31]하고 조직의 정보보호 수준 향상에 가장 중요한 요인의 최고경영자의 정보보호에 대한 지원 [32] 및 최고경영자의 정보보호에 대한 조직적 차원의 지원은 정보보호 성숙도 수준에 긍정적인 영향[33]을 준다는 기존 연구 결과와도 유사한 결과를 얻었다.
- <표 1>은 분석에 사용된 일반적인 사항으로 275개 종합병원은 9.520개, 424개의 병원은 8.083개, 135개의 요양병원은 8.141개, 1,168개의 의원은 6.886개의 정보보안생활실천을 하여 의료기관종별 규모가 커짐에 따라 정보보안생활실천을 더 하는 것으로 나타났다.
- 의료기관종별을 (상급)종합병원, 병원, 요양병원을 묶어 분석한를 보면 교육을 받지 않았을 때에 비해, 1회 교육시 0.09개, 2회 이상 교육시 0.65개가 증가하였고 경영진이 교육을 받은 경우 0.78개를 더 정보보안 생활 실천을 한 것으로 나타났다.
- 마지막으로 의원급에는 정보보호교육이 필요하다는 점이다. 의사들의 개인정보보호 관리수준에 대한 5점 만점에 본인 의원에서의 개인의무기록정보 보호 관리수준을 질문하면 3.38점으로 나타나지만 평균은 3.15점으로 나타나 인식의 차이를 보인 점[21] 등과 의원급에서 정보보호교육에 따른 정보보호실천갯수가 증가가 나타난 점을 고려할 때 소규모 기관들을 교육할 수 있는 방안을 마련할 필요가 있음을 확인되었다.
- 첫째, 의료기관의 정보보호교육횟수와 정보보호활동의 상관관계를 확인한 결과, 의료기관에서 정보보호교육을 받으면 조직구성원들의 정보보호활동의 참여가 증가하는 것을 알 수 있었다. 정보보안담당자들은 가장 큰 정보보호의 위협이 되는 사람은 보안 위협이 미흡하거나 조심성이 없는 직원들로 조직 내부의 상황을 가장 잘 알고 권한 있는 내부자에 의한 보안이 취약해 지는 상황을 만든다는 응답[27]과 기업이 조직 구성원의 행동을 보안 교육을 통해 적절하게 통제하게 된다면 기술적인 접근보다 훨씬 효과적일 수도 있다는 기존 연구[28]와도 일치한다.
- 최근 1년 동안 개인정보 보호관련 교육 경험률은 8.5%로 매우 낮았으며, 교육을 받지 않은 이유는 충분한 정보 및 소개가 부족하여 45.8%, 시간을 내지 못하여 19.8%, 필요성을 못 느껴 18.8%, 적절한 교육내용을 찾지 못하여 15.6% 순으로 나타났었는데 본 연구에서 나타난 결과는 의원급 의사들(경영진)의 생각과는 다르게 의원급 경영진(의사)은 정보보호교육을 받아야 정보보호를 위한 생활 실천을 한다는 것이 증명되었고, 정보보호를 자율적으로 의료기관에 맡기는 것 보다는 적절한 제3자 개입이 필요하다는 선행연구의 타당성이 증명되었다.[22]
후속연구
- 또한, 기관이 정보보호교육을 받으면 정보보호생활실천이 높아지는 연구 결과와 기관에서 근무하는 근무자 직종별로도 정보보호교육을 받으면 정보보호생활실천이 높아진다는 결과에도 불구하고, 교육 대상에 대해서는 추가적인 검토가 필요하다.
- 본 연구는 지금까지의 연구들에서 대표성을 갖는 전국 단위의 의료기관을 대상으로 정보보호교육횟수와 조직 구성원들의 정보보호 활동과의 연관성을 실증하였다는데 의의가 있으며, 이러한 결과는 의료기관은 경영진을 비롯해 의료기관 종사자에 대한 정보 보호 교육을 실시하여야 한다는 당위성 제공에 근거로 활용될 수 있을 것이다. 아울러, 의료기관에 대한 개인의료정보보호에 대한 관리 실태및 인식 수준을 주기적으로 파악할 수 있는 조사가 없는 실정으로 주기적인 실태조사를 통해 문제점을 파악하고 현실적 대책을 마련할 필요가 있다고 하겠다.
- 아울러, 일부 의료기관과는 아직 자율규제규약을 맺고 있지 않은 점은 보완해 나가야 할 것이며, 자율점검의 영향이 개인정보보호에 어떠한 영향을 미치는지에 대한 분석이 향후 이루어질 필요성이 있다.
- 통제된 정보 보호 거버넌스, 정보 보호를 위한 장비 및솔루션 등 조직 구성원의 정보보호 생활 참여에 영향을 줄 수 있다는 점 등을 고려할 때, 추가적인 연구가 필요할 것으로 판단된다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.