I-Shou University Institutional Repository:Item 987654321/18754

義守大學醫務管理學系碩士在職班. Executive Master Program. Department of Healthcare Administration. I-Shou University. 如何防止醫院員工違反電子病歷隱私保護政策. How to Prevent Hospital Staff from Violating Privacy. Policy of Electronic Medical Records. 指導教授：郭光明博士. 研究生：陳衍良撰. 中華民國一○四年八月. ii. 摘要. 背景與目的：目前國內外皆有多項法律規範保護民眾個人隱私資料，醫院對病人病歷. 資料亦制訂相關隱私保護政策，病歷資訊外洩可能藉由醫院外部人員入侵及醫院內部. 員工蓄意或不經意洩漏，病歷資訊保護作為仍有極大精進空間。本研究目的為探討如. 何能遏止護理人員違反電子病歷資訊隱私保護政策之影響因素。. 材料與方法：本研究以威攝理論與保護動機理論為基礎，以問卷調查法，採便利抽. 樣，針對高雄市某一區域醫院具電子病歷系統使用權限之護理人員進行問卷調查。. 結果與結論：本研究共發放 350 份問卷，回收有效問卷 315 份，經結構方程模式分. 析，結果顯示偵測確定性、認知脆弱性、認知嚴重性與主觀規範負向顯著影響護理人. 員違反電子病歷隱私保護政策之行為意圖。就研究結果而言，建議利用資訊系統及人. 工稽核加強電子病歷隱私保護工作，使護理人員瞭解一旦發生違反電子病歷隱私行為. 時是很迅速且容易被偵測到的，另透過海報、院內網站公告、各類集會宣導及在職教. 育訓練等方式，加強護理人員認知，使其知道違反電子病歷隱私是容易被發現且會對. 於醫院造成嚴重影響的，最後，各項政策仍需要主管的支持及要求，以降低其違反電. 子病歷隱私保護政策行為意圖。. 關鍵字：威攝理論、保護動機理論、電子病歷、隱私保護政策. Abstract. Background and Purpose: Despite many regulations have been enacted to protect personal. information and hospitals have also established many policies to protect patients’ privacy,. patients’ medical records could, however, be breached intentionally by hospital staff or. outsiders. This study aims to investigate the factors that can prevent nurses from violating. privacy policy of electronic medical records (EMR).. Materials and Methods: The research framework of this study, based on Deterrence Theory. and Protection Motivation Theory, incorporated six inhibitors of violating privacy policy for. hospital staff. Survey methodology was used to collect data from a regional hospital in. Kaohsiung City. Subjects were nurses who are authorized to access EMR in the subject. hosptial. . Results and Conclusions: The response rate of the study was 90% (315/350). Structural. equation modeling was utilized to analyze the collected data. The results showed that four. factors including detection certainty, perceived vulnerability, perceived severity, and. subjective norm were found to significantly lower nurses’ violating behaviors toward the. privacy policy of EMR. Based on the findings, this study suggested that the managers of. hospitals can first audit nurses’ usage behavior of EMR via manual or autonomous (such as. information systems) means. Moreover, it is suggested that hospitals can improve nurses’. perception of severity of privacy violating behaviors through posters, Internet websites,. meetings, and ethical training. Finally, privacy protection related policies and edeavors still. require the full support of the managers of hospitals.. Keywords: Deterrence Theory, Protection Motivation Theory, Electronic Medical Record.. 致謝. 首先，最感謝是我的指導教授-郭光明博士，在撰寫論文過程中，因工作上面. 臨醫院評鑑及職務調動壓力，往往被許多工作上事務所干擾，在課業上亦有著論. 文的壓力，常常無法如時達成該有之進度，讓我一度想逃避與放棄，而老師卻不. 斷給予我協助及指導，而我知道老師平日工作也是相當辛苦，可是卻願意撥出時. 間，主動打電話來鼓勵我、提醒我，應繼續堅持下去不要放棄，應有軍人本色誓. 死達成任務，且對我不離不棄，相信這輩子我絕對不可能會忘記，也可能不會再. 有對我如此付出的老師了，內心感慨萬千同時並致上 12 萬分敬意，而今年得以. 順利完成論文的寫作與發表，更是老師對我付出的證明，讓我可以在本學期內完. 成論文，邁向人生中的另一階段。. 再來要感謝口試委員-馬震中博士及劉忠峰博士在論文口試時的指導，針對本. 論文專業領域部分給予詳細指導，提供相當多的建議及寶貴意見，使本論文內容. 能更臻完善。. 最後，感謝我的同學(昭芬學姊、佳和學長、瑋婷、雅珮、妤玲等)，在這段. 求學過程中不斷給予我協助及鼓勵，使我能順利完成各項學分及作業，更體會到. 同學間溫馨無私的付出，讓我更有動力繼續堅持下去。. 陳衍良謹誌. 義守大學管理學院醫務管理碩士在職專班. 中華民國 104 年 8 月 17 日. I. 目錄. 第壹章、緒論 ............................................................................................................................ 6 . 一、研究背景 ................................................................................................ 6 . 二、研究動機 ................................................................................................ 6 . 三、研究目的與問題 .................................................................................... 7 . 四、研究貢獻 ................................................................................................ 7 . 五、研究流程 ................................................................................................ 8 . 第貳章、文獻探討 .................................................................................................................... 9 . 一、電子病歷 ................................................................................................ 9 . (一)國內電子病歷的發展狀況 ............................................................. 9 . (二)電子病歷的定義 ........................................................................... 10 . 二、醫療資訊隱私保護相關法律與政策 .................................................. 10 . 三、電子病歷系統安全 .............................................................................. 11 . 四、威攝理論 .............................................................................................. 12 . 五、保護動機理論 ...................................................................................... 12 . (一) 1975 年版本保護動機理論 ......................................................... 12 . (二) 1983 年版本保護動機理論 ......................................................... 13 . 第參章、研究方法 .................................................................................................................. 14 . 一、研究架構 .............................................................................................. 14 . 二、研究假說 .............................................................................................. 15 . (一)處罰嚴重性對於違反隱私保護政策行為意圖之影響 ............... 15 . (二)處罰確定性對於違反隱私保護政策行為意圖之影響 ............... 15 . (三)偵測確定性對於違反隱私保護政策行為意圖之影響 ............... 16 . (四)認知脆弱性對於違反隱私保護政策行為意圖之影響 ............... 16 . (五)認知嚴重性對於違反隱私保護政策行為意圖之影響 ............... 17 . II. (六)主觀規範對於違反隱私保護政策行為意圖之影響 ................... 17 . 三、研究變數定義、衡量與問卷設計 ...................................................... 18 . (一)研究變數定義 ............................................................................... 18 . (二)問卷設計 ....................................................................................... 20 . 四、問卷抽樣與回收 .................................................................................. 21 . 五、資料分析方法 ...................................................................................... 21 . 第肆章、資料分析 .................................................................................................................. 22 . 一、基本資料分析 ...................................................................................... 22 . 二、統計假設(Assumption)檢定 ................................................................ 23 . (一)常態分配檢測 ............................................................................... 23 . (二)共線性診斷 ................................................................................... 25 . (三)離群值 ........................................................................................... 25 . 三、衡量模式 .............................................................................................. 26 . 四、結構模式 .............................................................................................. 29 . 第伍章、結果與討論 .............................................................................................................. 31 . 一、處罰嚴重性對於違反隱私保護政策行為意圖之影響...................... 31 . 二、處罰確定性對於違反隱私保護政策行為意圖之影響...................... 31 . 三、偵測確定性對於違反隱私保護政策行為意圖之影響...................... 31 . 四、認知脆弱性對於違反隱私保護政策行為意圖之影響...................... 32 . 五、認知嚴重性對於違反隱私保護政策行為意圖之影響...................... 32 . 六、主觀規範對於違反隱私保護政策行為意圖之影響 .......................... 33 . 第陸章、結論與建議 .............................................................................................................. 34 . 一、結論 ...................................................................................................... 34 . 二、研究建議 .............................................................................................. 35 . 三、研究限制 .............................................................................................. 36 . 四、未來研究方向 ...................................................................................... 36 . III. 參考文獻 .................................................................................................................................. 37 . 一、中文部分 .............................................................................................. 37 . 二、英文部分 .............................................................................................. 38 . 附錄 A 研究問卷 .................................................................................................................... 43 . 附錄 B 同意臨床試驗證明書 ................................................................................................. 46 . . IV. 表目錄. 表 2-1 電子病歷的定義 .......................................................................................................... 10 . 表 3-1 研究假說 ...................................................................................................................... 18 . 表 4–1 基本資料分析 .............................................................................................................. 22 . 表 4–1 基本資料分析(續) ....................................................................................................... 23 . 表 4-2 常態性假設檢測 ........................................................................................................... 23 . 表 4-2 常態性假設檢測(續) .................................................................................................... 24 . 表 4-4 CFA 信度分析 .............................................................................................................. 27 . 表 4-5 CFA 效度分析 .............................................................................................................. 28 . . V. 圖目錄. 圖 1-1 研究流程 ......................................................................................................................... 8 . 圖 3-1 研究架構 ...................................................................................................................... 14 . 圖 4-1 結構模式 ....................................................................................................................... 30 . 6. 第壹章、緒論. 一、研究背景. 在這民眾對於醫療資源需求日益增加時代，醫療費用將隨之不斷成長，而透過資訊科技. 可有效降低醫療營運成本及提升醫療服務品質，例如推動電子病歷可解決紙本病歷儲存空間. 及數量，提升民眾就診方便性，使醫護人員提升工作效率而增加照護病人時間，醫療機構更. 可節省營運成本而提高醫療服務品質。在此環境下，醫療產業開始發展各項資訊系統，期望. 能達成改善其營運狀況之目標，另政府單位希望運用有限醫療資源，以各種獎勵措施為模. 式，鼓勵醫療機構能運用資訊科技以改善醫療服務品質，在這些鼓勵方案中，以電子病歷的. 推動最為積極(行政院衛生福利部, 2013)。. 電子病歷優點是病人資料可於醫療機構間或醫療系統間相關利害人共享(Angst et al.,. 2010)，醫療機構可有效控制醫療成本及提高醫療服務品質(Palvia et al., 2012)，並可改善病. 患安全、提高醫療機構營運效率、提供醫學教學與研究等用途(Bates et al., 2003)。. 二、研究動機. 電子病歷缺點在於病歷採電子化方式儲存，可能造成電子病歷資料遭到破壞與竊取，引. 發病歷隱私疑慮(Angst et al., 2010)，而電子病歷亦可能遭到不當揭露，因為電子病歷的保護. 較紙本病歷不足，隨著資訊科技進步，電子病歷入侵事件越可能發生(Baumer et al., 2000)，. 所以，電子病歷雖然可能使醫護人員更易存取，卻也更容易造成電子病歷遭受破壞(Angst. and Agarwal, 2009; Kapoor and Nazareth, 2012)，電子病歷隱私遭侵犯問題逐漸凸顯出來，醫. 療機構應針對病歷隱私保護議題妥採各項保護措施。. 國內外均有相關法律(U.S. Department of Health and Human Services, 2002; Volonino and. Robinson, 2003)明文規範保護民眾個人資訊隱私，並特別針對醫療產業病歷資訊的隱私方面. 訂有相關罰則(行政院衛生署, 2004)，避免病人資訊外洩，但個人或病人資訊隱私被侵犯的. 案例在國內外仍時有所聞(Laric and Pitta, 2009; Medlin and Cazier, 2011; 楊漢湶, 2012)。. 7. 內部員工為組織資訊安全問題最主要來源 (Laric and Pitta, 2009; Medlin and Cazier, 2007;. Rindfleisch, 1997)，因此瞭解護理人員對於醫院電子病歷資訊隱私的態度，才能有效遏止醫. 院電子病歷隱私破壞事件(例如病歷資料外洩)，期望能深入探討此議題了解護理人員行為意. 圖，提供政府及醫療機構訂定相關資訊規範的參考。. 三、研究目的與問題. 本研究以南部某醫院護理人員為對象，進行問卷調查，探討如何防止護理人員違反電子. 病歷隱私保護政策之影響因素，提供政府或相關醫療機構未來訂定電子病歷管理規範之參. 考，維護保障病人隱私權，防止護理人員違反個人資料保護法等相關規範，達成保障病人、. 保護員工、維護醫療機構及貫徹政府法令規範之目標。. 因此，本研究希望透過調查醫院護理人員對違反電子病歷隱私保護政策之處罰嚴重性、. 處罰確定性、偵測確定性、認知脆弱性、認知嚴重性、主觀規範及違反醫院電子病歷隱私保. 護政策行為意圖等，進一步瞭解如何防止護理人員違反電子病歷隱私保護政策之影響因素。. 四、研究貢獻. 全民健保自 84 年 3 月份實施迄今，其目的為提供全民健康照護之連續性、可近性及綜. 合性，使民眾就醫品質提升及控制醫療費用。而透過電子病歷發展，民眾可獲得連續性之照. 醫療照顧，醫院可以節省執行醫療過程中各項醫療及行政作業成本，惟個人隱私意識日益高. 漲，如何保護電子病歷隱私更是民眾及醫院所關切重點。. 藉由此研究，所獲得結果可提供政府對於電子病歷隱私保護政策制定與醫院如何防止員. 工病歷外洩之參考，政府在訂定相關法令前，應先了解目前電子病歷執行現況、需求、作業. 流程及窒礙問題，了解影響醫院員工對於遵守電子病歷隱私保護政策之行為意圖，針對影響. 因素，藉以擬定合理性、可行性之法令規定，使民眾方面得以安心就醫不必擔心個人隱私外. 洩；員工方面得以提升醫療及行政作業效率，避免因擔心資訊外洩而影響本務工作；醫院方. 面得以提升醫療照護品質及減少醫療糾紛產生。. 8. 五、研究流程. 本研究如圖 1-1 所示，首先瞭解研究背景、目的與動機，蒐集電子病歷、醫療資訊隱私. 保護相關法律與政策、威攝理論及保護動機理論等相關文獻並彙整，接下來提出研究架構雛. 形，提出初步研究假說、發展問卷初稿，經由專家會議修訂研究架構與問卷，確保具備一定. 程度之信、效度，取得人體試驗委員會審查通過後，開始實施問卷調查，最後進行資料分. 析，並針對分析結果提出相關討論與建議事項。. 圖 1-1 研究流程. 研究背景、目的與動機. 文獻蒐集與彙整. 提出初步假說. 發展問卷初稿. 專家會議修訂研究架構與問卷. 人體試驗委員會審查. 進行問卷調查. 資料分析. 討論與建議. 提出研究架構雛形. 9. 第貳章、文獻探討. 本章共分為五節，第一節介紹電子病歷，第二節探討醫療資訊隱私保護相關法律與政. 策，第三節探討電子病歷系統安全，第四節探討威攝理論，第五節探討保護動機理論。. 一、電子病歷. (一)國內電子病歷的發展狀況. 依據行政院衛生福利部資料顯示，國內電子病歷推動計畫及期程分為：1. 國民健康資. 訊建設計畫(NHIP)–推動實施電子病歷子計畫：97 年至 100 年，共計四年。2. 加速辦理智. 慧醫療照護計畫–加速醫療院所實施電子病歷系統計畫：99 年至 101 年，共計三年。電子. 病歷互通應用補助計畫：102 年至 104 年，共計 3 年。99-101 年「加速醫療院所實施電子病. 歷系統計畫」已階段性告一段落，計有 282 家醫院、2,000 家診所及 2 家署立醫院實施電子. 病歷；207 家醫院通過電子病歷檢查，符合「醫療機構電子病歷製作及管理辦法」之規範；. 191 家醫院符合電子病歷標準及規範，且其中 142 家醫院可跨院查詢醫學影像及報告、血液. 檢驗、出院病摘或用藥紀錄等 4 大類電子病歷。電子病歷推動目標為促進醫療院所醫療作業. 資訊化及病歷電子化，透過發展電子病歷雲端服務，增加醫療院所間互通性，進而降低醫療. 成本及提升醫療照護品質。另院際病歷互通及整合，減少病患重複檢驗檢查及用藥，提升醫. 療資源運用效能及病人安全(行政院衛生福利部, 2013)。. 衛生福利部為配合實施電子病歷所採取相關配套措施可分為：1.法規面。2.技術與標準. 面。3.安全面。4.推廣面。在法規面，希望透過相關法令規範強化電子病歷安全性，期間亦. 邀請相關領域之專家團體、醫療機構及衛生機關人員，共同討論以強化「醫療法」及「醫療. 機構電子病歷製作及管理辦法」之相關條款。在技術與標準面，制定標準化格式俾利後續電. 子病歷交換作業順遂。在安全面，透過教育訓練培訓醫院資訊安全種子人員，並提供醫院. ISO 27001：2005 驗證服務，加強醫療機構電子病歷檢查作業，檢視改進醫療機構電子病歷. 檢查實際執行情形。在推廣面，持續推動醫院資訊發展計畫，並透過結合醫院評鑑及健保審. 10. 查作業，期望達到病歷無紙化之目標(行政院衛生福利部, 2013)。. (二)電子病歷的定義. 在國內外有許多學者專家、學者提出,依不同角度所提各種不同定義彙整如下：. 表 2-1 電子病歷的定義. 資料來源:黃興進等人 (2006); 楊美雪、潘大永(2004). 二、醫療資訊隱私保護相關法律與政策. 國內目前與醫療資訊隱私保護相關法律可區分為：1) 電子病歷相關法規；2) 個人資料. 保護法；3) 醫療相關法規三方面；至於電子病歷相關法規方面，在電子病歷時代，因病人. 病歷資訊均數位化，這些病歷資訊的流通與存取也更容易，造成電子病歷更容易外洩，引發. 民眾擔心病歷資訊隱私被侵犯狀況，針對病歷隱私問題，衛生署提出包括：「醫療資訊安全. 與隱私保護指導綱領草案」(行政院衛生福利部, 2004)與「醫療機構電子病歷製作及管理辦. 法」(行政院衛生福利部, 2009)等辦法。「醫療資訊安全與隱私保護指導綱領草案」針對病. 人隱私問題提出九項指導原則，包含：1)最小需求原則；2)直接取得原則；3)尊重及告知原. 則；4)公平正義原則；5)符合現行法規原則；6)合理範圍內之最大安全原則；7)病人權利保. 提出者名詞定義. Dick, Steen, &. Detmer (1997) CPR. 醫療機構以電子文件形式紀錄病人之診斷、影像、生. 理訊號、檢驗報告、醫療處置影片及醫療書表等之病. 歷資料與報告，可供文字及靜動態影像之紀錄播放與. 接受者，以支援醫療臨床診斷或醫院經營管理，藉此. 提昇健康照護的品質和降低醫療成本. Institute of Medicine. (1997) CPR. 存在於一資訊系統的電子化病歷紀錄。該系統除了提. 供使用者完整且準確的資料以外，亦提供警告、提. 醒、臨床決策支援系統、醫學知識連結及其他輔助工. 具. CPRI (1998) CPR 關於個人終其一生的健康狀態及醫療照護之電子化資. 訊. 陳楚杰. (2001) 電子化病歷. 將病人病歷以電子化文件製作、儲存及運用，除了包. 括醫師的診療記錄、檢驗檢查外，同時應具有提供使. 用者完全與正確的資料、警示與提醒、臨床決策支援. 及可連結醫療知識網站等功能. 11. 障原則；8)不可揭露原則；9)生命權及公共利益保障原則。而「醫療機構電子病歷製作及管. 理辦法」(行政院衛生福利部, 2009)則針對電子病歷資訊系統提出相關規定，例如：1)人員操. 作與維護有完善之作業程序；2)電子病歷存取與查閱等使用權限及管控機制有明確規範；3). 電子病歷存取與增刪動作之執行人員、時間及內容，應有紀錄併同電子病歷保存等，這些規. 範之主要目的均期望能達成保護病歷資訊隱私目的。在個人資料保護法方面，政府於民國. 84 年制定「電腦處理個人資料保護法」保障民眾個人資料在電腦時代不被誤用，並於民國. 101 年 10 月 1 日正式實施，對於資訊時代下民眾個人資料提供更進一步保障，醫院也屬於. 電腦處理個人資料保護法所規範單位之一。其次，目前國內有相當多與醫療相關法律清楚規. 定醫護相關人員對於病歷資訊保護與處罰條文，例如醫療法第 72 條規定：醫療機構及其人. 員因業務而知悉或持有病人病情或健康資訊，不得無故洩漏等，顯示國內對於病人資訊保護. 相關法律相當重視。此外，前述法律亦訂相關罰則，醫院如違反病歷隱私保護相關規定，當. 事人或醫院可能須接受相關處罰，對於醫院收入或聲譽都有不良影響。. 三、電子病歷系統安全. Loch et al. (1992)曾將企業所面臨到資訊系統安全之威脅進行分類，主要可區分為內部. 與外部兩種威脅，而在內部與外部威脅中又可進一步區分為人為與非人為兩類，內部人為威. 脅主要來自於員工，內部非人為威脅則來自於包括硬體故障、灰塵影響、電流湧浪(Power. surge)等因素；外部人為威脅則包含駭客或間諜，外部非人為威脅則包括天然災害、惡意軟. 體、電力故障等。上述資訊系統威脅中，尤其以來自內部員工對於資訊系統的威脅是目前主. 要的研究主軸之一(Willison and Warkentin, 2013)，內部員工所造成的威脅也比外部人員更嚴. 重(Straub, 1990)。針對組織中電腦誤用的資訊安全破壞事件，Straub (1990)曾提出預防性控. 制和威攝性控制兩種方法予以因應，預防性控制指透過資訊安全軟體避免未經授權存取，並. 設計安全之實體資訊設備；威攝性控制則利用指引或政策規範宣導電腦之合法使用、安全簡. 報和電腦稽核等事項。. 電子病歷屬於醫院中的資訊系統，同樣會面臨許多資訊安全問題，而電子病歷如遭受到. 破壞，立即可見的影響除了醫師無法即時查詢病人的病歷資訊，更嚴重的問題是病人較隱私. 不願外流的病歷資訊可能因而洩漏出去，輕則造成當事人感覺顏面無光，嚴重者上只可能影. 12. 響當事者喪失工作機會(Health Privacy Project, 2007)，因此為確保電子病歷隱私的安全，醫. 院必須找出如何避免內部員工違反電子病歷隱私保護政策之方法。. 四、威攝理論. 威攝理論(Deterrence Theory)最早的源起可追朔至 Thomas Hobbes (1588-1678)、Cesare. Beccaria (1738-1794)和 Jeremy Bentham (1748-1832) (Onwudiwe et al., 2005)。該理論植基於傳. 統犯罪學觀點而發展出威攝理論(D’Arcy and Herath, 2011; Onwudiwe et al., 2005)，其主要論. 點在於一般大眾在犯下犯罪行為或是決定放棄從事犯罪行為之決定，主要根據個人本身利益. 的最大化以及所需付出成本最小化原則，而處罰則可減少大眾犯罪行為發生(Straub, 1990)。. 如果處罰之罰則包含下列三種狀況：1)如犯罪處罰的程度越嚴重，從理性角度來進行決策的. 社會大眾便不太會從事犯罪行為；2)而社會大眾一旦犯下罪行，則確定會遭受到法律的制. 裁；3)如社會大眾犯下罪行後，也會馬上接受到法律制裁，以防止犯罪行為發生。就企業資. 訊安全情境而言，所謂正式處罰指企業訂定規範與程序，藉以確保組織員工能遵守資訊安全. 政策(Guo and Yuan, 2012)。. 威攝理論所提出的處罰包含三個部分(Gibbs, 1968; Tittle, 1969)：1)嚴重性、2)確定性與. 3)立即性。威攝理論一直到 1968 年代左右才開始有正式的假說驗證研究，然而相關的研究. 卻相當稀少(Onwudiwe et al., 2005)，較受矚目為 1968 年左右才有研究實際驗證威攝理論，. 結果為透過處罰嚴重性與處罰確定性可能對於防止自殺的行為有遏止作用(Onwudiwe et al.,. 2005)。. 五、保護動機理論. 保護動機理論(Protection Motivation Theory, PMT)最早由 Rogers (1975)提出，主要目的. 在清楚說明「恐懼訴求」內涵。. (一) 1975 年版本保護動機理論. Rogers (1975)首先於 1975 年提出第一個保護動機理論，保護動機理論將民眾面對資訊. 的處理與因應方式區分為三個階段：1)資訊來源(Sources of information)階段；2)認知中介過. 程(Cognitive mediating process)階段；以及 3)對應模式(Coping mode)階段，亦即民眾首先接. 13. 收到外來資訊(資訊來源階段)，接著評估所收到的資訊(認知中介過程)，最後則針對所收到. 的資訊採取因應行動(對應模式)。. Rogers (1975)提出保護動機理論主要目的在於更深入瞭解「恐懼訴求」的意涵，Rogers. 認為恐懼訴求主要受到三個因素影響：1)某一事件有害的嚴重程度；2)假使沒有適應性行為. 或調整現有行為來因應的狀況下，該事件會發生的機率；3)能夠減少或消除有害事件的建議/. 因應措施是否存在或其有效性。. (二) 1983 年版本保護動機理論. 在 1975 年提出保護動機理論之後，為了讓保護動機理論能更完整，Rogers (1983)認為. 原始的保護動機理論需進行修訂，包括(Maddux and Rogers, 1983; Rogers, 1983)：1)針對引發. 因應過程的「資訊來源」進行更廣泛的說明；2)提出額外的認知中介過程；以及 3)更充分說. 明因應模式。. 依據修訂保護動機理論(Rogers, 1983)，當民眾面臨威脅時，共有四個認知評估過程會中. 介民眾對於回應威脅行為抉擇：1)根據現有資訊評估該威脅嚴重性(Perceived severity)；2)該. 威脅發生機率(Perceived vulnerability)；3)民眾認為因應行為能夠移除該威脅的機率(即回應行. 為的有效性)(Response efficacy)；及 4)民眾認為自己能執行因應行為的能力(即民眾執行因應. 行為的自我效能)(Self-efficacy)，而這四個評估過程最後產生「保護動機」的心理狀態. (Rogers, 1983; Tanner et al., 1991)。. 14. 第參章、研究方法. 一、研究架構. 本研究屬橫斷面的研究設計，研究目的在於探討如何防止護理人員違反電子病歷隱私保. 護政策之影響因素，因此參考「威攝理論」、「保護動機理論」及國內外相關文獻建立本研. 究架構(如圖 3-1 所示)。之後依本研究架構來設調查問卷，藉以瞭解醫院護理人員保護病人. 電子病歷隱私行為意圖之影響因素，其結果可提供政府及醫療機構訂定相關資訊規範的參. 考。. . 圖 3-1 研究架構. 15. 二、研究假說. (一)處罰嚴重性對於違反隱私保護政策行為意圖之影響. 本研究將處罰嚴重性之操作型定義為如果破壞電子病歷隱私遭醫院發覺時，所接受處罰. 的嚴重程度。在威攝理論的說法裡提到一般民眾在決策是否從事或是放棄犯罪行為主要依據. 最大個人利益及付出最小成本而決定，而處罰可降低大眾犯罪之發生(Straub, 1990)，處罰可. 進一步區分為正式或非正式兩類 (Gibbs, 1968)，正式處罰主要分為(Gibbs, 1968; Tittle,. 1969)：1)嚴重性(Severity)、2)確定性(Certainty)與 3)立即性(Celerity/Swiftness)。. 在過去研究( Herath and Rao, 2009a)指出正式處罰之嚴重性顯著影響員工遵循資訊安全政. 策之行為意圖；在(Hovav and D’Arcy, 2012b)研究指出美國處罰嚴重程度對於資訊系統誤用. 行為意圖有顯著影響。目前不論是行政院法務部公布個人資料保護法或衛生福利部公布之醫. 療機構電子病歷製作及管理辦法均有明文規定護理人員從事醫療作業所應注意事項，一旦發. 生電子病歷破壞事件，不論是政府機關或醫療機構皆會針對違規情事依法進行懲處，相信護. 理人員亦會因此有所警惕，不會隨意違反電子病歷隱私保護政策，因此本研究提出下列假. 說：. H1：護理人員對處罰嚴重性與其違反電子病歷隱私保護政策之行為意圖成負向相關. (二)處罰確定性對於違反隱私保護政策行為意圖之影響. 本研究將處罰確定性之操作型定義為如果破壞電子病歷隱私遭醫院發覺時，接受處罰的. 機率，在威攝理論的說法裡提到處罰可進一步區分為正式或非正式兩類(Gibbs, 1968)，正式. 處罰主要分為(Gibbs, 1968; Tittle, 1969)：1)嚴重性、2)確定性與 3)立即性。. 在過去研究中(Hovav and D’Arcy 2012)指出，於美國及韓國樣本中處罰確定性對於資訊. 系統誤用行為意圖之影響均不顯著，另在研究中(Li et al., 2010; Zhang et al, 2009)指出，處罰. 確定程度對於員工行為意圖之影響呈現顯著。而目前政府相關法令規範(個人資料保護法、. 醫療機構電子病歷製作及管理辦法)業已公告，護理人員在執業過程中，如有發生電子病歷. 16. 破壞情形，接受醫院或政府機關懲罰機率越高，違反電子病歷隱私保護政策意圖應會越低，. 雖然過去文獻均無顯著影響，本研究個案醫院為國軍醫院，在軍方懲處紀律較為嚴明(機率. 較高)，因此本研究提出下列假說：. H2：護理人員對處罰確定性與其違反電子病歷隱私保護政策之行為意圖成負向相關. (三)偵測確定性對於違反隱私保護政策行為意圖之影響. 本研究將偵測確定性之操作型定義為醫院對於偵測員工破壞電子病歷隱私等不法行為的. 確定程度，Vroom and von Solms (2004)認為要確保員工能確實遵循組織所擬定資訊安全政. 策，仍需某種形式評估，偵測員工對於資訊安全的遵循程度。儘管威攝理論建議透過嚴重且. 確定的處罰來遏止不法行為，但仍須讓潛在違法者知道組織所採取避免違法行為之預防措施. (Straub, 1990)，僅條列式資訊安全政策仍無法落實執行資訊安全政策，因此組織需有機制能. 偵測員工不法行為(Herath and Rao, 2009a; Straub and Nance, 1990)，Park et al. (2012)也指出單. 純的處罰可能不足以避免員工犯行，必須佐以偵測措施。以往研究(Guo et al., 2011; Herath. and Rao, 2009a)也曾利用處罰嚴重性與偵測確定性來預測員工對於資訊安全政策的遵從性，. Straub and Nance (1990)更建議組織必須加強不法事件的監測，因這些犯行者往往不易被發. 現，根據上述的討論，本研究提出假說：. H3：護理人員對偵測確定性與其違反電子病歷隱私保護政策之行為意圖成負向相關. (四)認知脆弱性對於違反隱私保護政策行為意圖之影響. 本研究將認知脆弱性之操作型定義為我認為醫院電子病歷資訊可能遭受隱私破壞事件. (例如外洩)的機率，當民眾面臨威脅時，民眾認為因應行為能夠移除該威脅的機率(即回應行. 為的有效性)，而評估過程最後產生「保護動機」的心理狀態(Rogers, 1983; Tanner et al.,. 1991)。. 在 Ifinedo (2012)研究中指出，認知脆弱程度對於遵循資訊安全政策行為意圖有正向影. 響；在 Siponen et al. (2006)研究中指出認知脆弱程度對於資訊安全政策遵循意圖有顯著影. 響。目前衛生福利部正積極推廣電子病歷政策，而正反兩面聲音不斷，病歷無紙化在有形部. 17. 分可以省下每年調閱病歷、影印病歷所需人力及成本，而無形之中電子病歷外洩機率亦不斷. 為大家所爭議及討論，國內外網站個資外洩時有所聞，而電子病歷有個人最隱私之醫療資. 訊，外洩後果想當然爾非常嚴重，因此本研究提出下列假說：. H4：護理人員的認知脆弱性與其違反電子病歷隱私保護政策之行為意圖成負向相關. (五)認知嚴重性對於違反隱私保護政策行為意圖之影響. 本研究認知嚴重性之操作型定義為我評估醫院電子病歷資訊可能遭受隱私破壞事件(例. 如外洩)的嚴重程度。在 Siponen et al. (2006)研究中指出，認知嚴重性對於資訊安全政策遵循. 意圖有顯著影響；在 Youn (2005)研究中指出認知風險嚴重程度對於青少年提供個人資訊的. 意願負向顯著影響。依個人資料保護法第 28 條規定，公務機關違反本法規定，致個人資料. 遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。公務機關違反本法規. 定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。如被. 害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百. 元以上二萬元以下計算。而電子病歷亦屬於該法第 2 條所規範之個人資料範圍，只要個人或. 單位因資料管理及保護不慎，造成電子病歷資料外洩，將可能遭受罰款或處以有期徒刑等懲. 罰，個人資料保護意識日益高漲，護理人員對於電子病歷隱私保護之認知嚴重性應會日益增. 加，因此本研究提出下列假說：. H5：護理人員的認知嚴重性與其違反電子病歷隱私保護政策之行為意圖成負向相關. (六)主觀規範對於違反隱私保護政策行為意圖之影響. 本研究主觀規範之操作型定義為認為對於其重要的其他人認為他是否必須遵守醫院隱私. 保護政策的程度，依據威攝理論非正式處罰指的是非法律性成本(Pratt et al., 2006)，例如某. 不法行為未獲得朋友或同儕的認可(Guo and Yuan, 2012; Piquero and Tibbetts, 1996)，依據威. 攝理論彙整分析結果，非法律性成本對於遏止非法行為的強度較處罰確定性與不法行為之間. 關係高(Pratt et al., 2006)。. 在 Herath and Rao (2009b)研究中指出，主觀規範對於資訊安全政策遵從意圖有顯著影. 18. 響；在 Li et al. (2010)研究中指出，主觀規範對於員工遵循網際網路使用規範之行為意圖有. 顯著影響，在 D’Arcy and Herath (2011)研究顯示道德信念可能會影響員工遵循資訊安全政策. 意圖，護理人員人數 527 人佔個案醫院總人數 45%，如有護理人員違反規範，來自其朋友或. 同儕的壓力可想而知，所以主觀規範或許是影響護理人員遵守電子病歷隱私保護政策行為意. 圖之重要因素，因此本研究提出下列假說：. H6：護理人員所認知的主觀規範與其違反電子病歷隱私保護政策之行為意圖成負向相. 關. 本研究各構面及研究假說整理如表 3-1 所示。. 表 3-1 研究假說. 構面假說研究假說. 正式處罰. H1 護理人員對處罰嚴重性與其違反電子病歷隱私保護政策之行為意圖成負. 向相關. H2 護理人員對處罰確定性與其違反電子病歷隱私保護政策之行為意圖成負. 向相關. H3 護理人員對偵測確定性與其違反電子病歷隱私保護政策之行為意圖成負. 向相關. 非正式. 處罰. H4 護理人員的認知脆弱性與其違反電子病歷隱私保護政策之行為意圖成負. 向相關. H5 護理人員的認知嚴重性與其違反電子病歷隱私保護政策之行為意圖成負. 向相關. H6 護理人員所認知的主觀規範與其違反電子病歷隱私保護政策之行為意圖. 成負向相關. 三、研究變數定義、衡量與問卷設計. 本研究變項主要包含處罰嚴重性、處罰確定性、偵測確定性、認知脆弱性、認知嚴重. 性、主觀規範及違反醫院電子病歷隱私保護政策行為意圖等 7 項。. (一)研究變數定義. 本研究將處罰嚴重性定義為如果破壞電子病歷隱私遭醫院發覺時，所接受處罰的嚴重程. 度；處罰確定性定義為如果破壞電子病歷隱私遭醫院發覺時，接受處罰的機率；認知脆弱性. 定義為認知醫院電子病歷資訊可能遭受隱私破壞事件(例如外洩)的機率；認知嚴重性定義為. 護理人員評估醫院電子病歷資訊可能遭受隱私破壞事件(例如外洩)的嚴重程度；主觀規範定. 19. 義為對於其重要的其他人認為他是否必須遵守醫院隱私保護政策的程度；行為意圖定義為忽. 略或未注意醫院電子病歷隱私保護政策之行為意圖，本研究變數之操作型定義與衡量問項題. 數如表 3-2 所示：. 表 3-2 變數之操作型定義與衡量問項題數. 變項名稱操作型定義題. 號問項. 處罰嚴重性. (Herath and Rao, 2009a; Hovav and. D’Arcy, 2012b). 如果破壞電子病歷. 隱私遭醫院發覺. 時，所接受處罰的. 嚴重程度. 1 醫院會懲罰違反電子病歷隱私保護政策. 的員工. 2 醫院會開除經常違反電子病歷隱私保護. 政策的員工. 3 如果我被發現違反電子病歷隱私保護規. 範，我可能受到嚴厲懲罰. 處罰確定性. (Herath and Rao, 2009a; Hovav and. D’Arcy, 2012a). 如果破壞電子病歷. 隱私遭醫院發覺. 時，接受處罰的機. 率. 1 如果我不遵守電子病歷隱私保護規定，. 我可能會被處罰. 2 如果我違反電子病歷隱私保護規定，我. 可能會遭到醫院正式處罰. 3 如果我違反電子病歷隱私保護規定，我. 可能會遭到醫院的訓誡. 偵測確定性. (Herath and Rao, 2009a; Zhang et al.,. 2009). 醫院對於偵測員工. 破壞電子病歷隱私. 等不法行為的確定. 程度. 1 醫院會監控員工是否合法使用電子病歷. 2 如果我違反電子病歷隱私保護政策，有. 可能被醫院發現. 3 如果我違反電子病歷隱私保護政策，被. 醫院發現的機率可能很高. 認知脆弱性. (Ifinedo, 2012; Siponen et al.,. 2006). 我認為醫院電子病. 歷資訊可能遭受隱. 私破壞事件(例如外. 洩)的機率. 1. 如果我未能遵守電子病歷資訊隱私保護. 政策，醫院可能容易發生電子病歷隱私. 破壞事件(如遭到網路入侵而發生資訊外洩狀況). 2. 如果我沒能遵守醫院電子病歷資訊隱私. 保護政策，我的電子病歷資訊隱私也可. 能遭受侵犯. 3. 我相信好好去保護醫院電子病歷資訊就. 能減少其遭受非法存取之機會(例如未經. 授權查詢或列印病患的電子病歷). 4. 如果連我都不能遵守醫院電子病歷資訊. 隱私保護政策，電子病歷系統可能就會. 遭受損害. 20. 表 3-2 變數之操作型定義與衡量問項題數(續). 變項名稱操作型定義題. 號問項. 認知嚴重性. (Siponen et al., 2006; Youn,. 2005). 我評估醫院電子病. 歷資訊可能遭受隱. 私破壞事件(例如外. 洩)的嚴重程度. 1 我相信醫院的電子病歷隱私可能遭受到. 破壞事件(例如遭到未經授權入侵，造成資訊外洩). 2. 我相信醫院的營運和員工都可能遭受到. 破壞事件(例如遭到未經授權入侵，造成. 資訊外洩)的影響. 3 我相信醫院的營收可能受到電子病歷隱. 私破壞的影響. 主觀規範. (Herath and Rao, 2009b; D’Arcy and. Herath, 2011). 認為對於其重要的. 其他人認為他是否. 必須遵守醫院隱私. 保護政策的程度. 1 醫院高階主管希望員工能遵守電子病歷. 隱私保護政策. 2 我主管認為我應該遵守醫院電子病歷隱. 私保護政策. 3 我同事認為我應該遵守醫院電子病歷資. 訊隱私保護政策. 4 醫院病歷管理單位希望員工能遵守電子. 病歷資訊隱私保護政策. 行為意圖. (Ifinedo,2012; Vance et al.. 2012). 忽略或未注意醫院. 電子病歷隱私保護. 政策之行為意圖. 1 我傾向不理會我認為不需要的醫院電子. 病歷隱私保護政策. 2 為了能儘快完成我的工作，我傾向忽略. 電子病歷隱私保護政策. 3 當影響到我的工作效率時，我可能就不. 會遵循電子病歷隱私保護政策. 4 很容易達成的電子病歷隱私保護政策，. 我才可能會遵循. 5 當我很忙時，我傾向忽略電子病歷隱私. 保護政策. (二)問卷設計. 本研究問卷為結構式問卷，依據威攝理論及保護動機理論，將量表區分為處罰嚴重性、. 處罰確定性、偵測確定性、認知脆弱性、認知嚴重性、主觀規範及違反遵守醫院電子病歷隱. 私保護政策行為意圖等 7 個構面，共計 25 題問項，讓填答者易於明確選擇適當的答案。. 採用李克特量表(Likert scale)7 分法，讓填答者表達其對問題的認同程度，並採以單選方. 式勾選，計分方式為「非常不同意」給 1 分、「很不同意」給 2 分、「不同意」給 3 分、. 「沒意見」給 4 分、「同意」給 5 分、「很同意」給 6 分、「非常同意」給 7 分，分數愈. 21. 高，代表認同程度愈高。. 四、問卷抽樣與回收. 本研究個案醫院為南部一所區域教學醫院，隸屬於國防部軍醫局，醫院規模為一般急性. 病床 732 床，員工人數約有 1,179 人，其中醫師 167 員(14%)、護理人員 527 員(45%)、其它. 醫事技術人員 132 員(11%)，行政人員 353 員(30%)。本研究目的為探討哪些因素可以遏止護. 理人員違反電子病歷隱私保護政策，研究對象為個案醫院最常使用病人電子病歷的護理人. 員，並採立意取樣方式進行研究。. 問卷施測前，先將問卷送交人體試驗委員會審查，於 103 年年 2 月 13 日取得該會審查. 合格同意書(如附錄 B)後，才開始進行問卷調查作業，正式問卷發放時間為 103 年 5 月 1 日. 至 103 年 5 月 22 日，進行約三週問卷調查，首先調查各護理站人員人數，再將足量之問卷. 資料放入信封，交由護理站護理長負責發放，以病房為單位，各病房完成後，由該病房派員. 送回或通知研究人員取回。本研究共發出 350 份問卷，回收 319 份問卷，剔除無效問卷 4 份. (填答不完整)後，有效問卷共有 315 份，有效回收率 90%。. 五、資料分析方法. 本研究問卷於回收後，先進行信、效度之分析，信度分析主要是衡量測量工具之穩定性. (Hair, Hult, Ringle, & Sarstedt, 2013)。信度檢測採用 Cronbach’s α來做判定(Cronbach, 1951)。. 效度分析主要是評估衡量工具之正確性(Hair et al., 2013)，在效度分析方面，採用已經有實證. 過之量表以加強測量工具的內容效度，並且透過驗證性因素分析 (Confirmatory Factor. Analysis, CFA)將所有相關變數依據因素負荷量來做分類，並分成數個因素群，因素分析結. 果將可以用來驗證研究架構與回收之資料是否吻合，可測試問卷的建構效度(Hair et al.,. 2013)。在最後使用結構方程模式來驗證研究模式，本研究採用 Partial Least Square(PLS)來進. 行分析，依據 Chin (2010)與 Hair et al. (2013)之建議，將 PLS 研究結果評估區分為兩大步. 驟：1)衡量模式(Measurement model)評估主要包含信、效度檢定，並確認衡量問項與變數之. 間的關係，且依據相關判斷準則作為問項取捨之依據，如：平均變異萃取量、組合信度與因. 22. 素負荷量等，有衡量模式具備足夠之信、效度，最後進行結構模式衡量才會具有意義(Chin,. 2010)；2)結構模式(Structural model)則用於檢定本研究所提出之假說。. 第肆章、資料分析. 本章主要為收集之資料進行各項分析，共分為三個部分。1)採用 SPSS 17.0 for Windows. 版作為統計分析工具，此部分主要針對問卷基本資料分析；2)進行衡量模式；3)結構模式分. 析。. 一、基本資料分析. 本研究樣本採用立意取樣方式，於南部一所區域教學醫院實施，正式問卷發放時間為. 103 年 5 月 1 日至 103 年 5 月 22 日，進行約三週問卷調查，共計發放 350 份問卷，回收 319. 份問卷，其中 4 份問卷因填答內容不完整或不符合統計假設(Assumptions)列為無效問卷，最. 終有效問卷共 315 份，有效問卷回收率為 98.75%。本研究先針對填答者基本資料進行分. 析，填答者問卷之第一部分：1)年齡大多數為 30–49 歲 (58.7%)，其次為 20–29 歲. (37.5%)；2)性別為男(5.1%)、女(94.9%)；3)教育程度大多數為大學(66.3%)，其次為專科. (24.4%)；4)管理職務大多數為非管理階層(92.7%)，其次為管理階層(7.3%)。(如表 4-1 所示). 表 4–1 基本資料分析. 類別子類別次數百分比. 年齡. 20–29 歲 118 37.5%. 30–49 歲 185 58.7%. 50–64 歲 12 3.8%. 性別. 男性 16 5.1%. 女性 299 94.9%. 23. 表 4–1 基本資料分析(續). 類別子類別次數百分比. 教育程度. 高中(職)含以下 4 1.3%. 專科 77 24.4%. 大學 209 66.3%. 研究所含以上 25 7.9%. 管理職務. 管理階層 23 7.3%. 非管理階層 292 92.7%. 二、統計假設(Assumption)檢定. 為確保所搜集資料分析結果能具備足夠統計力(Power)，本研究進一步針對常態分配、. 共線性與離群值進行分析。. (一)常態分配檢測. 一般而言，常態分配可透過偏態與峰度確認，如果 Zskewness(偏態/√偏態標準誤)與. Zkurtosis(峰度/√峰度標準誤)介於±1.96 之間，則可研判資料符合常態分配(Ho, 2013)，檢定. 結果如表 4-2 所示，所計算出來的偏態峰度大多數統計值皆符合標準，顯示本研究所收集資. 料大致符合常態分配。. 表 4-2 常態性假設檢測. 衡量. 問項. 平均數標準差偏態峰度偏態峰度. 統計量統計量統計量標準誤統計量標準誤 Zskewness Zkurtosis. PSU1 4.97 1.07 -0.04 0.14 0.73 0.27 -0.11 1.39. PSU2 4.50 1.25 -0.12 0.14 0.51 0.27 -0.31 0.98. PSU3 4.97 1.05 -0.24 0.14 1.12 0.27 -0.64 2.14. 24. 表 4-2 常態性假設檢測(續). 衡量. 問項. 平均數標準差偏態峰度偏態峰度. 統計量統計量統計量標準誤統計量標準誤 Zskewness Zkurtosis. PC1 5.07 0.90 0.13 0.14 1.13 0.27 0.34 2.15. PC2 5.02 0.98 -0.04 0.14 1.05 0.27 -0.12 2.01. PC3 5.14 0.85 0.37 0.14 1.00 0.27 1.00 1.91. DC1 5.11 0.89 0.49 0.14 0.39 0.27 1.32 0.75. DC2 5.20 0.84 0.53 0.14 0.62 0.27 1.44 1.19. DC3 5.18 0.89 0.60 0.14 0.26 0.27 1.63 0.50. PV1 5.31 0.90 0.42 0.14 0.16 0.27 1.13 0.31. PV2 5.34 0.86 0.67 0.14 0.09 0.27 1.81 0.17. PV3 5.36 0.83 0.73 0.14 -0.14 0.27 1.96 -0.26. PV4 5.32 0.84 0.60 0.14 0.15 0.27 1.63 0.28. PES1 5.13 0.92 -0.15 0.14 2.25 0.27 -0.40 4.30. PES2 5.21 0.87 0.07 0.14 2.20 0.27 0.18 4.21. PES3 5.06 0.94 0.02 0.14 1.41 0.27 0.07 2.69. SN1 5.45 0.87 0.53 0.14 -0.44 0.27 1.43 -0.84. SN2 5.48 0.88 0.52 0.14 -0.66 0.27 1.42 -1.26. SN3 5.45 0.85 0.58 0.14 -0.33 0.27 1.58 -0.62. SN4 5.45 0.87 0.62 0.14 -0.51 0.27 1.67 -0.98. IVPP1 5.34 0.87 0.60 0.14 -0.03 0.27 1.63 -0.05. IVPP2 5.34 0.85 0.66 0.14 0.10 0.27 1.78 0.19. IVPP3 5.39 0.88 0.57 0.14 -0.18 0.27 1.54 -0.35. IVPP4 2.71 0.83 -0.68 0.14 0.31 0.27 -1.83 0.60. IVPP5 2.70 0.85 -0.50 0.14 0.35 0.27 -1.35 0.66. 25. (二)共線性診斷. 本研究採用允差(Tolerance)與變異數膨脹因素(Variance Inflation Factor, VIF)進行共線性. 診斷。允差值如小於 0.1 則代表此衡量問項與其他衡量問項間的有共線性問題，VIF 與允差. 互為倒數(Hair et al., 2013)。表 4-3 所示，衡量問項允差值最低為 0.20，每個問項皆高於. 0.1，同時 VIF 值最大為 5.03，每個衡量問項 VIF 值皆小於 10，顯示應無共線性問題(Hair et. al., 2013)。. 表 4-3 共線性診斷. (三)離群值. 此外本研究亦針對離群值進行分析，依據 Ho (2013)建議，離群值可利用 z 值(公式：[每. 一問項-平均值]/標準差)來判斷，如果樣本數小於 80 時，z 值如果大於 2.5 便有離群值現. 象，反之如果樣本大於 80，z 值如果大於 3.29 則有離群值現象。本研究樣本數大於 80 份，. 所計算出來的 z 值大多數皆無大於 3.29，應無離群值現象。. 衡量. 問項. 共線性統計量. 允差 VIF. PUS 0.32 3.14. PC 0.20 5.03. DC 0.23 4.30. PV 0.21 4.84. PES 0.51 1.97. SN 0.26 3.87. 26. 三、衡量模式. 本研究根據文獻 Hair et al. (2013)建議先針對衡量模式進行分析，衡量模式亦即進行驗證. 性因素分析(Confirmatory Factor Analysis, CFA)，驗證性因素分析對研究模式判斷標準與衡量. 模式相同(Chin, 2010)，亦能檢定研究信度與效度(Hair et al., 2013)。. 在信度方面，依據 Hair et al. (2013)建議評估方法為(1)個別問項交叉負荷量(Cross. Loading)；(2)組合信度(Composite Reliability, CR)與 Cronbach’s α 來評估。本研究依據. Chin(2010)建議先將各構面關係連結，使用因素加權法(Factor Weighting Scheme)進行 CFA. 分析，依據 Hair et al. (2013)建議，個別問項交叉負荷量值須大於 0.707，經 CFA 分析顯示所. 有問項均達到交叉負荷量 0.707 建議標準(Hair et al., 2013)。其次，各個構面 CR 值與. Cronbach’s α均達到大於 0.7 建議值(Hair et al., 2013)，依據上述建議，顯示本研究個別問項. 及構面均具足夠信度(如表 4-4 所示)。. 在效度方面，文獻建議可從收斂效度和區別效度評估(Hair et al., 2013)，收斂效度指構面. 衡量指標具有構面單向程度，構面衡量指標為完全收斂於單一構面(Hair et al., 2013)，可利用. 平均變異萃取量(Average Variance Extracted, AVE)進行檢定(Fornell and Larcker, 1981)，分析. 結果顯示各構面 AVE 值均高於 0.7(Fornell and Larcker, 1981)，顯示本研究具有足夠的收斂. 效度(如表 4-4 所示)。. 在區別效度方面，根據 Fornell and Larcker (1981)建議，利用各構面 AVE 平方根值與構. 面間相關係數進行分析比較，本研究各構面 AVE 平方根值均大於構面間相關係數(如表 4-5. 所示)，結果顯示具備足夠區別效度，經過上述顯示本研究亦具備足夠信度與效度，可接著. 進行下一階段結構模式分析。. 27. 表 4-4 CFA 信度分析. 構面 AVE CR Cronbach’s. α. 問項交叉負荷. 量. 平均. 數. 構面平均. 數. 標準. 差. 處罰嚴重性. (PUS) 0.78 0.91 0.86. PUS1. PUS2. PUS3. 0.90. 0.83. 0.91. 5.0. 4.5. 5.0. 4.8. 1.1. 1.2. 1.0. 處罰確定性. (PC) 0.90 0.96 0.94. PC1. PC2. PC3. 0.95. 0.94. 0.95. 5.1. 5.0. 5.1. 5.1. 0.9. 1.0. 0.9. 偵測確定性. (DC) 0.87 0.95 0.93. DC1. DC2. DC3. 0.90. 0.96. 0.94. 5.1. 5.2. 5.2. 5.2. 0.9. 0.8. 0.9. 認知脆弱性. (PV) 0.85 0.96 0.94. PV1. PV2. PV3. PV4. 0.90. 0.91. 0.95. 0.94. 5.3. 5.3. 5.4. 5.3. 5.3. 0.9. 0.9. 0.8. 0.8. 認知嚴重性. (PES) 0.73 0.89 0.81. PES1. PES2. PES3. 0.87. 0.90. 0.78. 5.1. 5.2. 5.1. 5.1. 0.9. 0.9. 0.9. 主觀規範. (SN) 0.92 0.98 0.97. SN1. SN2. SN3. SN4. 0.95. 0.97. 0.96. 0.96. 5.5. 5.5. 5.4. 5.4. 5.5. 0.9. 0.9. 0.9. 0.9. 違反電子病歷. 隱私保護政策. (IVPP). 0.88 0.97 0.97. IVPP1. IVPP2. IVPP3. IVPP4. IVPP5. 0.93. 0.94. 0.94. 0.95. 0.94. 2.7. 2.7. 2.8. 2.6. 2.7. 2.7. 0.8. 0.8. 0.9. 0.8. 0.9. 28. 表 4-5 CFA 效度分析. DC IVPP PC PES PV PUS SN. DC 0.93. IVPP -0.71 0.94. PC 0.76 -0.56 0.95. PES 0.59 -0.57 0.57 0.85. PV 0.60 -0.45 0.83 0.50 0.88. PUS 0.79 -0.75 0.63 0.62 0.49 0.92. SN 0.74 -0.75 0.64 0.59 0.52 0.83 0.96. (PUS=處罰嚴重性；PC=處罰確定性；DC=偵測確定性；PV=認知脆弱性；PES=認知嚴重. 性；SN=主觀規範；IVPP=違反電子病歷隱私保護政策行為意圖；對角線值為構面AVE值之. 平方根). 29. 四、結構模式. 結構模式為計算結構間的路徑係數，依據路徑的方向性、強度及顯著性評估(如圖 4-1. 所示)。結構模式分析結果顯示處罰嚴重性與其違反電子病歷隱私保護政策行為意圖並無顯. 著關係(β = 0.02, t = 0.29) ，假說 H1 不成立；處罰確定性與其違反電子病歷隱私保護政策行. 為意圖並無顯著關係(β = 0.08, t = 0.91) ，假說 H2 不成立；偵測確定性與其違反電子病歷隱. 私保護政策行為意圖具有負向顯著關係(β = -0.24, t = 2.82***) ，假說 H3 成立；認知脆弱性. 與其違反電子病歷隱私保護政策行為意圖具有負向顯著關係(β = -0.23, t = 2.29**) ，假說 H4. 成立；認知嚴重性與其違反電子病歷隱私保護政策行為意圖具有負向顯著關係(β =- 0.12, t =. 1.82*) ，假說 H5 成立；主觀規範與其違反電子病歷隱私保護政策行為意圖具有負向顯著關. 係(β = -0.35, t = 3.87***)，假說 H6 成立。整體而言，處罰嚴重性、處罰確定性、偵測確定. 性、認知脆弱性、認知嚴重性、主觀規範對於違反電子病歷隱私保護政策意圖之解釋力為. 63.8%。. 30. . . *p<0.1, **p<0.05, ***p<0.01, ****p<0.001. 圖 4-1 結構模式. 處罰嚴重性 (PUS). 偵測確定性 (DC). 處罰確定性（PC）. 認知脆弱性 (PV). 認知嚴重性 (PES). 違反電子病歷隱私保. 護政策 (R2=63.8%). 主觀規範 (SN). -0.24 (t=2.82***). -0.23 (t=2.29**). -0.12 (t=1.82*). -0.35 (t=3.87****). 0.02 (t=0.29). 0.08 (t=0.91). 31. 第伍章、結果與討論. 一、處罰嚴重性對於違反隱私保護政策行為意圖之影響. 本研究假說 H1「處罰嚴重性會負向影響護理人員違反電子病歷隱私保護政策之行為意. 圖」，研究結果顯示處罰嚴重性與護理人員違反電子病歷隱私保護政策之行為意圖並無顯著. 影響(β = 0.02, t = 0.29)，與以往文獻探討處罰嚴重性與行為意圖兩個變數關係之結果不相符. (Herath and Rao, 2009a; Hovav and D’Arcy, 2012b)。造成無顯著影響可能原因為醫院電子病歷. 刻正處於推動時期各項配套措施及實施規定未臻成熟，院內各單位護理同仁對於電子病歷處. 罰嚴重性仍未有相關意識，亦或仍未有電子病歷隱私異常事件發生，亦或醫院至今仍未有懲. 罰或開除違反電子病歷隱私保護案例發生。故護理人員可能未有效意識到違反電子病歷隱私. 保護政策處罰之嚴重性，因此無法真正有效達到嚇阻效果。. 二、處罰確定性對於違反隱私保護政策行為意圖之影響. 本研究假說 H2「處罰確定性會負向影響護理人員違反電子病歷隱私保護政策之行為意. 圖」，研究結果顯示處罰確定性與護理人員違反電子病歷隱私保護政策之行為意圖並無顯著. 影響(β = 0.08, t = 0.91)，與以往文獻探討處罰確定性與行為意圖兩個變數關係之結果並不相. 符(Herath and Rao, 2009a; Hovav and D’Arcy, 2012a)，造成此種不顯著的現象可能原因在於目. 前醫療體系，各醫院護理人力缺乏流動率高，年輕護理人員在心態上可能存在如果被懲處或. 開除時，其他醫院亦可能有相同或更好工作機會，不怕面臨失業，所以遵守電子病歷隱私保. 護政策意圖隨之降低。最後，根據問卷調查結果顯示，醫院護理人員人數最多年齡層落在. 30~49 歲之間(58.9%)，平均年資 9.5 年，就軍醫院體系而言，部分資深護理人員屬軍職或聘. 僱身分，若涉及開除處分時在執行時有作業上困難，因此並無法有遏止效果。. 三、偵測確定性對於違反隱私保護政策行為意圖之影響. 本研究假說 H3「偵測確定性會負向影響護理人員違反電子病歷隱私保護政策行為意. 32. 圖」，研究結果顯示偵測確定性與護理人員違反電子病歷隱私保護政策行為意圖具有負向顯. 著影響(β = -0.24, t = 2.82***)，與以往文獻探討偵測確定性與行為意圖兩個變數關係之結果. 相符(Herath and Rao, 2009a; Zhang et al., 2009)。因此，偵測確定性是能降低護理人員違反電. 子病歷隱私保護政策行為意圖，醫院平日可透過資訊系統檢查及人力稽核，使護理人員了解. 到只要違反電子病歷隱私保護政策是確定可以被偵測到的，進而心生警惕，可有效降低護理. 人員違反電子病歷隱私保護政策行為意圖。. 四、認知脆弱性對於違反隱私保護政策行為意圖之影響. 本研究假說 H4「認知脆弱性會負向影響護理人員違反電子病歷隱私保護政策行為意. 圖」，研究結果顯示認知脆弱性與護理人員違反電子病歷隱私保護政策行為意圖具有負向顯. 著影響(β = -0.23, t = 2.29**)，與以往文獻探討認知脆弱性與行為意圖兩個變數關係之結果相. 符(Ifinedo, 2012; Siponen et al., 2006)。因此，認知脆弱性是能降低護理人員違反電子病歷隱. 私保護政策行為意圖，個案醫院為國軍醫院，護理人員認為國軍在資安管控及教育訓練方面. 應較民間醫院嚴謹，所以透過在職教育訓練可提升護理人員資訊安全知識及認知，電子病歷. 亦屬於資訊系統範疇，而現今資訊外洩事件層出不窮，電子病歷安全性亦不斷被提出討論，. 護理人員在不斷受到外界刺激下必然了解到造成醫院電子病歷隱私破壞事件機率相當高，進. 而降低護理人員違反電子病歷隱私保護政策行為意圖。. 五、認知嚴重性對於違反隱私保護政策行為意圖之影響. 本研究假說 H5「認知嚴重性會負向影響護理人員違反電子病歷隱私保護政策行為意. 圖」，研究結果顯示認知嚴重性與護理人員違反電子病歷隱私保護政策行為意圖具有負向顯. 著影響(β = -0.12, t = 1.82*)，與以往文獻探討認知嚴重性與行為意圖兩個變數關係之結果相. 符(Siponen et al., 2006; Youn, 2005)，因此，認知嚴重性是能降低護理人員違反電子病歷隱私. 保護政策行為意圖，現今科技資訊發展迅速，個人資料外洩情形日益嚴重，如中華民國資料. 保護協會公布 2013 年美國 Target(網路商店)網站遭駭客入侵，受影客戶可能達到 1.1 億；. Adobe 遭駭客入侵，290 萬用戶個資與產品程式碼外洩。電子病歷也是透過網路傳輸，全球. 33. 許多知名網站已發生過隱私破壞事件，該網站資安管控措施必不下於醫院，但仍有破壞事件. 發生，故護理人員認為醫院電子病歷隱私亦有可能遭受到破壞事件，更直接或間接影響到醫. 院營運狀況，進而達到降低護理人員違反電子病歷隱私保護政策意圖。. 六、主觀規範對於違反隱私保護政策行為意圖之影響 . 本研究假說 H6「主觀規範會負向影響護理人員違反電子病歷隱私保護政策行為意. 圖」，研究結果顯示主觀規範與護理人員違反電子病歷隱私保護政策行為意圖具有負向顯著. 影響(β = -0.35, t = 3.87***)，與以往文獻探討主觀規範與行為意圖兩個變數關係之結果相符. (Herath and Rao, 2009b; D’Arcy and Herath, 2011)，因此，主觀規範是能降低護理人員違反電. 子病歷隱私保護政策行為意圖，而在國軍醫院體系，往往制度及階級觀念較為明顯，不論在. 工作或各項活動上，醫院護理人員均可感受到醫院既有風氣，且各單位主管及護理長大多為. 軍職身分，所以平時生活管理及教育訓練均朝向制度化發展，另國軍醫院在民間部分受衛生. 福利部管轄，在軍方部分亦受軍醫局管理，各項督導及評鑑作業均依年度期程辦理，各級主. 管或上級督導單位均要求同仁循序漸進按部就班執行各項行政及臨床醫療作業，進而達到降. 低護理同仁違反電子病歷隱私保護政策意圖。. 34. 第陸章、結論與建議. 一、結論. 本研究目的為瞭解如何防止護理人員違反電子病歷隱私保護政策之影響因素，依據威攝. 理論及保護動機理論為基礎，本研究提出包括：處罰嚴重性、處罰確定性、偵測確定性、認. 知脆弱性、認知嚴重性、主觀規範等六個變數之研究架構，針對南部地區某國軍醫院進行問. 卷調查，總共回收 315 份有效問卷，所收集資料透過結構方程模式進行分析，結果顯示六個. 自變數中，有偵測確定性、認知脆弱性、認知嚴重性、主觀規範等四個自變數能顯著影響護. 理人員違反電子病歷隱私保護政策行為意圖。. 本研究經資料分析後結果顯示處罰嚴重性與處罰確定性與原本假設有所不同，可能造成. 原因或許和研究對象特性及醫院風氣有關，在處罰嚴重性對其違反電子病歷隱私保護政策意. 圖部分，分析結果為不顯著，推論可能原因為個案醫院電子病歷作業教育訓練及相關法令規. 定宣導未臻成熟，護理人員不清楚違反醫院電子病歷隱私之嚴重性，亦或可能不知道本身某. 些行為已違反醫院電子病歷隱私相關法規，另亦可能是個案醫院未有因違反電子病歷隱私遭. 開除之前例，致護理人員無法對此產生警惕作用，所以造成此結果為不顯著。. 在處罰確定性對其違反電子病歷隱私保護政策意圖部分，分析結果為不顯著，推論可能. 原因為個案醫院護理人員有抗拒心態，覺得電子病歷隱私保護政策會增加工作負擔，多了許. 多不必要之作業程序，例如護理人員有事離開時應將電腦帳號登出，避免造成個人資料外. 洩，而常常為圖方便僅離開幾分鐘不想回來時又要再重新登錄增加等候時間，另亦或為護理. 人員心存僥倖心態，僅離開一下並不會被發現自己未將帳號登出，亦不認為有人趁自己短暫. 離開就入侵竊取電子病歷資料，且個案醫院未有護理人員因此而遭受訓誡之案例，故護理人. 員認為被發現之機率較低，亦無法使其有警惕作用，所以造成此結果為不顯著。. 偵測確定性對其違反電子病歷隱私保護政策意圖之影響，分析結果為顯著，顯示醫院若. 透過資訊系統或人力實施機動性稽核時，護理人員認為違反規定被發現機會增加，且可能因. 此遭受訓誡或懲處，所以使護理人員意識到一旦違反電子病歷隱私就隨時會被偵測到，有助. 35. 於降低護理人員違反電子病歷隱私保護政策行為意圖，故此結果呈現顯著。. 認知脆弱性對其違反電子病歷隱私保護政策意圖之影響，分析結果為顯著，顯示護理人. 員認為若未能遵守電子病歷資訊隱私保護政策，醫院有可能會發生電子病歷隱私破壞事件，. 而在現今社會上常有發生個資外洩、病歷隱私外洩等事件，使護理人員意識到，一旦不謹慎. 處理電子病歷資料，就有可能造成外洩情事產生，所以認知脆弱性有助於降低護理人員違反. 電子病歷隱私保護政策行為意圖，故此結果呈現顯著。. 認知嚴重性對其違反電子病歷隱私保護政策意圖之影響，分析結果為顯著，顯示醫院的. 電子病歷隱私若遭受到破壞事件，其結果是相當嚴重的，在民眾部分可能影響到其來院就醫. 之信心，醫院部分可能名譽會遭受損害，間接造成醫院營收下降，而員工則使其失去向心. 力、工作動力及熱忱，所以認知嚴重性有助於降低護理人員違反電子病歷隱私保護政策行為. 意圖，故此結果呈現顯著。. 主觀規範對其違反電子病歷隱私保護政策意圖之影響，分析結果為顯著，顯示主管的企. 圖心及決策方向，影響護理人員遵守電子病歷隱私保護政策行為意圖，而個案醫院為國軍醫. 院體體系、階級觀念明顯及服從性較高，此現象皆與其他公立或民間醫院有部分差異，故主. 管之命令或要求有助於降低護理人員違反電子病歷隱私保護政策行為意圖，故此結果呈現顯. 著。. 二、研究建議. (一)利用海報、院內網站公告及各類集會(如院務會議、晨會)等方式，宣導政府及醫院保護. 病人電子病歷隱私的政策與懲處規定，使護理人員了解違反病人電子病歷隱私之嚴重性. 及必要性。. (二)依政府法令規定配合醫院現況制訂保護病人電子病歷隱私政策，請各單位依醫院所制訂. 之標準作業流程落實執行，以避免護理人員發生違反病人電子病歷隱私之情事。. (三)以案例宣導方式，針對其他醫院或院內發生違反病人電子病歷隱私事件，提出案例分. 析、改進作為及相關預防措施，以避免類案肇生。. (四)請資訊單位、病歷管理單位定期實施稽核，加強偵測確定性，見微知著加強預防工作，. 36. 避免護理人員違反病人電子病歷隱私之情事發生。. (五)辦理在職教育訓練，宣導最新資訊保護相關規定，強化護理人員知能避免發生違反病人. 電子病歷隱私事件，並藉以提昇其作業能力。. (六)透過資訊系統監控強化電子病歷系統安全性，如使用者密碼定期更換通知、使用者權限. 設定及類似螢幕保護程式設定等，讓護理人員違反電子病歷隱私之可能性降至最低。. (七)透過本研究結果，了解護理人員違反電子病歷隱私保護政策之影響因素，藉此提供政府. 機關及醫療機構學術方面及實務方面參考，協助政府機構訂定有關電子病歷隱私保護政. 策，協助醫院訂定相關作業規定及強化人員教育訓練。. 三、研究限制. 本研究採立意取樣而非隨機抽樣，加上所蒐集之樣本僅來自於單一醫院，導致研究結果. 的外推性會受到限制，故建議未來研究者可針對地區醫院、區域醫院及醫學中心等不同層級. 的醫院進行研究，讓此議題的研究資料能更為完整。. 四、未來研究方向. 本研究在時間與經費考量之下，最終有效問卷僅回收 315 份，如果能擴地區醫院、區域. 醫院及醫學中心等不同層級的醫院進行研究，讓此議題的研究資料能更為完整，對於本研究. 將會有不同之結果，也將會有更具有的說服力及解釋力。本研究因樣本數均為護理人員，對. 於未來研究希望針對其他接觸電子病歷人員進行調查研究，尤其是醫師、資訊人員及病歷管. 理人員等對於違反電子病歷隱私保護政策行為意圖，將可能與本研究調查對象之行為有所差. 異，提供制定電子病歷隱私保護政策不同之觀點。. 37. 參考文獻. 一、中文部分. 行政院衛生福利部. (2004). 確立及推廣醫療資訊安全與隱私保護政策台北市: 行政. 院衛生署 Retrieved from http://www.doh.gov.tw.. 行政院衛生福利部. (2009). 醫療機構電子病歷製作及管理辦法. 台北市: 行政院衛生. 福利部 Retrieved from. http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=L0020121.. 行政院衛生福利部. (2013). 行政院衛生署電子病歷金榜. Retrieved 26th, November,. 2013, from http://emr.mohw.gov.tw/emrlist.aspx. 黃興進、呂卓勳、蕭如玲、陳瑞甫. (2006). 影響電子病歷交換效益關鍵因素之研究：. 醫師觀點. 電子商務學報, 11(1), 95-118.. 楊美雪、潘大永 (2004)。醫院電子病歷對病歷室人力衝擊之研究。CNHA93-01 醫院. 人力資源管理之研究計畫。. 楊漢湶. (2012). 電子病歷與病人隱私權保護. 澄清醫護雜誌, 8(1), 4-8.. 38. 二、英文部分. Angst, C.M., & Agarwal, R. (2009). Adoption of electronic health records in the presence of privacy. concerns: The elaboration likelihood model and individual persuasion. MIS Quarterly, 33(2),. 339-370. . Angst, C.M., Agarwal, R., Sambamurthy, V., & Kelley, K. (2010). Social contagion and information. technology diffusion: The adoption of electronic medical eecords in U.S. hospitals.. Management Science, 56(8), 1219-1241. . Bates, D.W., Ebell, M., Gotlieb, E., Zapp, J., & Mullins, H.C. (2003). A proposal for electronic. medical records in U.S. primary care. Journal of the American Medical Informatics. Association, 10(1), 1-10. . Baumer, D., Earp, J. B., & Payton, F.C. (2000). Privacy of medical records: IT implications of. HIPAA. ACM SIGCAS Computers and Society, 30(4), 40-47.. Chin, W.W. (2010). How to write up and report PLS analyses Handbook of partial least squares. (pp. 655-690): Springer.. Cronbach, L. (1951). Coefficient alpha and the internal structure of tests. Psychometrika, 16(3),. 297-334.. D'Arcy, J., & Herath, T. (2011). A review and analysis of deterrence theory in the IS security. literature: Making sense of the disparate findings. European Journal of Information Systems,. 20(6), 643-658. . Fornell, C., & Larcker, D.F. (1981). Evaluating structural equation models with unobservable. variables and measurement error. Journal of Marketing Research, 18(1), 39-50. . Gibbs, J.P. (1968). Crime, punishment, and deterrence. Southwestern Social Science Quarterly,. 48(2), 515-530. . Guo, K.H., & Yuan, Y. (2012). The effects of multilevel sanctions on information security violations:. A mediating model. Information & Management, 49(6), 320-326.. Guo, K.H., Yuan, Y., Archer, N.P., & Connelly, C.E. (2011). Understanding nonmalicious security. 39. violations in the workplace: A composite behavior model. Journal of Management. Information Systems, 28(2), 203-236. . Hair, J.F., Hult, G.T.M., Ringle, C.M., & Sarstedt, M. (2013). A Primer on Partial Least Squares. Structural Equation Modeling (PLS-SEM). Thousand Oaks, California: Sage.. Health Privacy Project. (2007). Health privacy stories. Retrieved December 22, 2010, from. http://www.healthprivacy.org.. Herath, T., & Rao, H.R. (2009a). Encouraging information security behaviors in organizations: Role. of penalties, pressures and perceived effectiveness. Decision Support Systems, 47(2), 154-. 165. . Herath, T., & Rao, H.R. (2009b). Protection motivation and deterrence: A framework for security. policy compliance in organisations. European Journal of Information Systems, 18(2), 106-. 125. . Ho, R. (2013). Handbook of Univariate and Multivariate Data Analysis with IBM SPSS: CRC Press.. Hovav, A., & D’Arcy, J. (2012). Applying an extended model of deterrence across cultures: An. investigation of information systems misuse in the U.S. and South Korea. Information &. Management, 49(2), 99-110.. Ifinedo, P. (2012). Understanding information systems security policy compliance: An integration. of the theory of planned behavior and the protection motivation theory. Computers &. Security, 31(1), 83-95.. Kapoor, A., & Nazareth, D.L. (2012). Medical data breaches: What the reported data illustrates, and. implications for transitioning to electronic medical records. Journal of Applied Security. Research, 8(1), 61-79. . Laric, M.V., & Pitta, D.A. (2009). Preserving patient privacy in the quest for health care economies.. Journal of Consumer Marketing, 26(7), 477-486. . Li, H., Zhang, J., & Sarathy, R. (2010). Understanding compliance with internet use policy from the. perspective of rational choice theory. Decision Support Systems, 48(4), 635-645. . Loch, K.D., Carr, H.H., & Warkentin, M.E. (1992). Threats to Information-Systems – Today’s. 40. reality, yesterday’s understanding. MIS Quarterly, 16(2), 173-186. . Maddux, J.E., & Rogers, R.W. (1983). Protection motivation and self-efficacy: A revised theory of. fear appeals and attitude change. Journal of Experimental Social Psychology, 19(5), 469-. 479. . Medlin, B.D., & Adriana, R. (2007). An Investigative Study: Health Care Workers as Security. Threat Suppliers. Journal of Information Privacy & Security, 3(1), 30-46.. Medlin, B.D., & Cazier, J. (2011). Obtaining patient’s information from hospital employees through. social engineering techniques: An investigative study. In H. Nemati (Ed.), Pervasive. Information Security and Privacy Developments: Trends and Advancements (pp. 77-89).. Hershey, New York: Information Science Reference.. Onwudiwe, I., Odo, J., & Onyeozili, E. (2005). Deterrence theory. In M. Bosworth (Ed.),. Encyclopedia of Prisons & Correctional Facilities (pp. 234-238). Thousand Oaks, CA: Sage. Publications, Inc.. Palvia, P., Lowe, K., Nemati, H., & Jacks, T. (2012). Information technology issues in healthcare:. Hospital CEO and CIO perspectives. Communications of the Association for Information. Systems, 30, Article 19. . Park, S., Ruighaver, A., Maynard, S., & Ahmad, A. (2012). Towards understanding deterrence:. information security managers’ perspective. In K.J. Kim & S.J. Ahn (Eds.), Proceedings of. the International Conference on IT Convergence and Security 2011 (Vol. 120, pp. 21-37):. Springer Netherlands.. Piquero, A., & Tibbetts, S. (1996). Specifying the direct and indirect effects of low self-control and. situational factors in offenders' decision making: Toward a more complete model of rational. offending. Justice Quarterly, 13(3), 481-510. . Pratt, T.C., Cullen, F.T., Blevins, K.R., Daigle, L.E., & Madensen, T.D. (2006). The empirical status. of deterrence theory: A meta-analysis. In F.T. Cullen, J.P. Wright & K.R. Blevins (Eds.),. Taking stock: The status of criminological theory (pp. 367-396). New Bronswick, NJ:. Transaction Publisher.. Rindfleisch, T.C. (1997). Privacy, information technology, and health care. Communications of the. 41. ACM, 40(8), 92-100. . Rogers, R.W. (1975). A protection motivation theory of fear appeals and attitude change. Journal of. Psychology, 91(1), 93-114. . Rogers, R.W. (1983). Cognitive and psychological processes in fear appeals and attitude change: A. revised theory of protection motivation. In J.T. Cacioppo & R. Petty (Eds.), Social. Psychophysiology (1st ed., pp. 153-176): New York: Guilford. . Siponen, M., Pahnila, S., & Mahmood, A. (2006, Nov. 2006). Factors influencing protection. motivation and IS security policy compliance. Paper presented at the Innovations in. Information Technology, 2006.. Straub, D.W. (1990). Effective IS security: An empirical study. Information Systems Research, 1(3),. 255-276. . Straub, D.W., & Nance, W.D. (1990). Discovering and disciplining computer abuse in. organizations - A field-study. MIS Quarterly, 14(1), 45-60. . Tanner, J.F., Jr., Hunt, J. B., & Eppright, D.R. (1991). The protection motivation model: A. normative model of fear appeals. Journal of Marketing, 55(3), 36-45. . Tittle, C.R. (1969). Crime rates and legal sanctions. Social Problems, 16(4), 409-423. . U.S. Department of Health & Human Services. (2002). Standards for privacy of individually. identifiable health information. Washington, D.C.: U.S. Department of Health & Human. Services, Retrieved from http://www.hhs.gov.. Vance, A., Siponen, M., & Pahnila, S. (2012). Motivating IS security compliance: Insights from. habit and protection motivation theory. Information & Management, 49(3–4), 190-198.. Volonino, L., & Robinson, S.R. (2003). Principles and practice of information security: Prentice.. Vroom, C., & von Solms, R. (2004). Towards information security behavioural compliance.. Computers & Security, 23(3), 191-198. . Willison, R., & Warkentin, M. (2013). Beyond deterrence: An exp