Кейс-исследование: сравнение анонимизированных и синтетических данных страховых претензий для оценки безопасности лекарств

Почему это важно для повседневных медицинских данных

Каждый раз, когда вы посещаете врача или получаете рецепт, цифровые следы вашей помощи попадают в крупные страховые базы данных. Эти записи — кладезь для обнаружения редких побочных эффектов препаратов и улучшения руководств по лечению, но вместе с тем они содержат глубоко личную информацию. В этом исследовании поставлен простой, но важный вопрос: когда мы пытаемся защитить конфиденциальность пациентов, изменяя такие данные, можно ли по-прежнему полагаться на медицинские выводы, которые получают исследователи?

Два разных способа «слиться с толпой»

Исследователи сосредоточились на реальном наборе страховых претензий о пациентах, лечившихся от тромбов в венах (венозная тромбоэмболия) и принимавших пероральные антикоагулянты вместе с антитромбоцитарными препаратами. Один метод, называемый анонимизацией, сохраняет реальные записи, но размывает или удаляет детали, чтобы сделать сложнее выделить отдельных людей. Другой — синтетические данные — обучает компьютерную модель на исходных записях и затем генерирует полностью новый набор данных, который повторяет общие закономерности, не воспроизводя при этом конкретных людей. Команда создала три защищённые версии одних и тех же данных: очень консервативную анонимизированную версию, которая защищала все переменные; более целевую анонимизацию на основе подробного анализа рисков; и полностью синтетическую версию.

Насколько копии были похожи на реальных пациентов?

Чтобы оценить, насколько защищённые наборы данных по‑прежнему напоминали исходный, авторы сравнивали базовые характеристики, такие как возраст, пол и распространённые заболевания, а также изучали взаимосвязи между переменными. Очень консервативная анонимизация привела к потере более трети записей пациентов и к исключению многих показателей здоровья, что исказило баланс между группами лечения. Анонимизация по сценарию угроз удалила меньше записей и лучше сохранила большинство закономерностей. Синтетические данные сохранили исходное число пациентов и уловили многие зависимости, но иногда сдвигали пропорции для некоторых состояний или воздействий препаратов. При более продвинутых статистических проверках анонимизация на основе сценария угроз и синтетические данные демонстрировали высокую общую схожесть с оригиналом, тогда как очень строгая анонимизация выглядела наименее похожей на исходные данные.

Удалось ли воспроизвести исходное исследование безопасности?

Клинический вопрос, лежавший в основе этих данных, заключался в том, является ли один класс антикоагулянтов — прямые пероральные антикоагулянты — более безопасным или рискованным по сравнению со старыми антагонистами витамина K при совместном приёме с антитромбоцитарными препаратами. Исследование рассматривало два исхода: смерти по любой причине и эпизоды массивного кровотечения. Используя каждую защищённую версию данных, исследователи повторили те же анализы времени до события, которые оценивают, насколько одно лечение изменяет риск по сравнению с другим. Все доступные оценки коэффициентов риска попали в диапазон неопределённости исходного исследования, что указывает на то, что основной медицинский вывод не был принципиально опрокинут. Но строгая анонимизация привела к потере стольких случаев, что некоторые риски кровотечений стало невозможно оценить, а статистическая неопределённость значительно возросла. Целевое шифрование и синтетические данные показали лучшие результаты, но всё же сдвигали оценки риска и расширяли интервалы ошибок, особенно для редких случаев кровотечений.

Насколько защищены эти наборы данных от любопытных глаз?

Далее команда оценила, насколько сложно целеустремлённому злоумышленнику установить личность кого‑то или вывести чувствательные медицинские данные. Они использовали продвинутые тесты «красной команды», которые пытаются связать записи с внешней информацией, выделить отдельных людей, угадать пропущенные атрибуты или определить, использовалась ли запись конкретного человека при построении набора данных. По отношению к исходным данным эти атаки были очень успешными, что подчёркивает необходимость дополнительной защиты перед любым более широким обменом. Все три защищённые версии существенно снизили эти риски как в реалистичном сценарии ограниченного злоумышленника, так и в агрессивном сценарии наихудшего случая. Строгая анонимизация обеспечила наибольшую защиту в целом, но ценой наибольшей потери информации. Анонимизация на основе анализа угроз и синтетические данные предложили более сбалансированную компромиссу, хотя в каждой из них обнаружились небольшие области, где отдельные атрибуты или необычные записи оставались относительно более уязвимыми.

Что это означает для использования защищённых медицинских данных

Для этого небольшого, но сложного набора претензий ни одна стратегия защиты явно не победила по всем параметрам. Более сильная приватность почти всегда сопровождалась слабее выраженным научным сигналом, особенно для редких событий, важных в исследованиях безопасности. Авторы приходят к выводу, что как продуманная анонимизация, так и качественно выполненные синтетические данные могут значительно повысить безопасность обмена страховой информацией, но защищённые наборы данных такого объёма лучше подходят для тестирования методов и проверки выполнимости, а не для окончательных клинических выводов. По возможности ключевые медицинские результаты всё же следует подтверждать на исходных данных под строгим управлением, используя защищённые версии как вспомогательные инструменты, а не полные замены.

Цитирование: Halilovic, M., Meurers, T., Alibone, M. et al. A case study comparing anonymized and synthetic health insurance claims data for medication safety assessments. npj Digit. Med. 9, 321 (2026). https://doi.org/10.1038/s41746-026-02622-5

Ключевые слова: конфиденциальность медицинских данных, синтетические данные, анонимизация данных, исследования страховых претензий, безопасность лекарств