<Q>
雇用管理に関する個人情報の取扱いにあたって、個人情報保護法に基づいて、個々の従業員のプライバシー保護の観点から、個々の従業員の健康情報についても慎重に取り扱わなければならないといわれている。
そうした健康情報に関して、留意すべき点や適正な管理の方法をまとめた国のガイドラインのようなものがあるそうですが、どのような内容か。
<A>
個人情報保護法(正式名称「個人情報の保護に関する法律」といい、以下「個人情報保護法」という。)については、平成28年に、個人情報の保護の強化などを図るための改正が行われ、平成29年5月30日から施行されており、あわせて、同法の円滑な施行を図るため、「個人情報の保護に関する法律についてのガイドライン(通則編)」、同じく「ガイドライン(第三者提供時の確認・記録義務編)」、同じく「ガイドライン(匿名加工情報編)」等多くのガイドライン(いずれも個人情報保護委員会の告示です。)が公布されている。
これらの改正とガイドラインが示される前には、厚生労働省から「雇用管理分野における個人情報保護に関するガイドライン」が告示で示されており、また、平成16年に「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項について」(以下「健康情報取扱留意事項」という。)の通達が発出されていた。これらのうち前者のガイドラインは上記の「ガイドライン(通則編)」等に一元化されたが、後者の健康情報取扱留意事項は、健康情報は個人情報保護法第2条第3項にいう「要配慮個人情報」に該当するが、これまでの健康情報取扱留意事項の規律水準と比較して変更はないことから、現在も施行されている(平29.5.29個情749、基発0529第3)。
この健康情報取扱留意事項は、次の1.から8.まで多岐にわたって示されているので、次のPOINTにおいて内容を紹介するが、事業者としては、この留意事項にのっとって労働者(従業員)の健康情報の保護について適切に対応される必要がある。
1.基本的な考え方
2.個人情報の適正な取得とその際の利用目的の通知等
3.個人データの安全管理措置および取扱従業者の監督
4.委託先の監督
5.本人の同意に関する事項
6.保有個人データの開示
7.苦情処理体制
8.その他配慮すべき事項
――――――――――――――――
個人情報保護法は、個人情報の適正な取扱いの確保を図るため、利用目的の特定について定めるとともに、本人の事前の同意なく特定された利用目的の達成に必要な範囲をこえて個人情報を取り扱うことを原則として禁止し、さらに、本人の事前の同意なしに個人データを第三者に提供することについても原則として禁止しています。
特に、労働者の健康情報は、個人情報の中でもセンシティブな内容を含んでいることから、<A>で示しました「健康情報取扱留意事項」において、事業者が留意すべき事項が示されています。
以下、その「健康情報取扱留意事項」の内容を簡単に紹介します。
<POINT1:健康情報の内容(定義)>
健康情報とは、健康診断結果、病歴、その他の健康に関するものをいい、個人情報保護法第2条第3項に規定された「要配慮個人情報」(情報の取得にあたって本人の同意が必要であり、第三者提供にあたっても、法令等に基づくもの以外は原則として本人の同意が必要なもの)に該当しますが、「留意事項」は、健康情報に該当する例として、次のようなものを掲げています。
- 産業医、保健師、衛生管理者その他の労働者の健康管理に関する業務に従事する者(「産業保健業務従事者」という。)が労働者の健康管理等を通じて得た情報
- 労働安全衛生法の規定に基づき事業者が実施した健康診断の結果
- 労働安全衛生法の規定に基づき労働者から提出された健康診断の結果
- 労働安全衛生法の規定に基づき事業者が医師または歯科医師から聴取した意見および事業者が講じた健康診断実施後の措置の内容
- 労働安全衛生法の規定に基づき事業者が実施した保健指導の内容
- 労働安全衛生法の規定に基づき事業者が実施した面接指導の結果および労働者から提出された面接指導の結果
- 労働安全衛生法の規定に基づき事業者が医師から聴取した意見および事業者が講じた面接指導に準ずる措置の結果
- 労働安全衛生法の規定に基づき事業者が実施した面接指導または面接指導に準ずる措置の結果
- 労働安全衛生法の規定に基づき事業者が実施した心理的な負担の程度を把握するための検査(ストレスチエック)の結果
- 労働安全衛生法の規定に基づきストレスチェックの結果を通知された労働者に対して、事業者が実施した面接指導の結果
- 10.の結果に基づき事業者が医師から聴取した意見および事業者が講じた面接指導実施後の措置の内容
- 労働安全衛生法の規定に基づき健康保持増進措置を通じて事業者が取得した健康測定の結果、健康指導の内容
- 労働者災害補償法の規定に基づき労働者から提出された二次健康診断の結果
- 健康保険組合等が実施した健康診断等の事業を通じて事業者が取得した情報
- 受診記録、診断名等の療養の給付に関する情報
- 事業者が医療機関から取得した診断書等の診療に関する情報
- 労働者から欠勤の際に提出された疾病に関する情報
- 以上の1.から17.までのほか、任意に労働者から提出された本人の病歴、健康診断の結果、その他の健康に関する情報
<POINT2:健康情報の取扱いについて事業者が留意すべき事項>
(1)事業者が健康情報を取り扱うにあたっての基本的な考え方
健康情報は労働者個人の心身の健康に関する情報であり、本人に対する不利益な取扱いまたは差別等につながるおそれのある機微な情報であるため、事業者は健康情報の適正な取扱いに特に留意しなければなりません。
健康情報は、労働者の健康確保に必要な範囲で利用されるべきものであり、事業者は、労働者の健康確保に必要な範囲をこえてこれらの健康情報を取り扱ってはなりません。
(2)個人情報の適正な取得とその際の利用目的の通知等
事業者は、法令に基づく場合を除き、労働者の健康情報を取得する場合は、あらかじめ本人に利用目的を明示し、本人の同意を得なければなりません。ただし、自傷他害のおそれがあるなど、労働者の生命または身体の保護のために緊急に必要がある場合は同意を得る必要はありません。
ストレスチェックを実施した医師、保健師その他省令で定める者(以下「実施者」という。)は、 労働者の同意を得ないでストレスチェックの結果を事業者に提供してはならないこととされており、事業者は、実施者またはその他事務に従事した者(以下「実施事務従事者」という。)に提供を強要するまたは労働者に同意を強要するなどの不正の手段により、労働者のストレスチェックの結果を取得してはなりません。
(3)個人データの安全管理措置および取扱い従業者の監督
個人情報保護法は、個人データの漏えい、滅失の防止等の安全管理措置(第20条)、および個人データ取扱い従事者に対する必要な監督(第21条)を個人情報取扱事業者に求めていますが、これに関し、次のような事項に留意しなければなりません。
①事業者は、健康情報のうち診断名、検査値等の加工前の情報や詳細な医学的情報の取扱いについては、 産業保健業務従事者に行われることが望ましいこと。
②産業保健業務従事者から産業保健業務従事者以外の者に健康情報を提供させる時は、労働者の健康確保に必要な範囲内で利用されるよう、必要に応じて健康情報を適正に加工させる等の措置を講ずること。
③個人のストレスチェック結果を取り扱う実施者および実施事務従事者は、あらかじめ衛生委員会等による調査審議を踏まえて事業者が指名し、すべての労働者に周知すること。
④ストレスチェック結果は、詳細な医学的情報を含むものではないため、産業保健業務従事者以外の者にも取り扱わせることができるが、事業者への提供について労働者の同意を得ていない場合には、ストレスチエックを受ける労働者の解雇・昇進などの人事に関して直接の権限をもつ監督的地位にあるものに取り扱わせてはならないこと。また、それらの権限をもたない人事を担当する者に結果を取り扱わせる場合は、秘密の保持義務があること、結果の漏えいなどを周知すること。
⑤インターネットや社内イントラネットの情報通信技術を利用してストレスチェックを実施する場合は、情報保護、改ざん防止などのセキュリティの確保のための仕組みが整い、それに基づいて結果の保存が適切になされており、本人以外の閲覧が制限されていること。
(4)委託先の監督
健康診断、ストレスチェック、面接指導または健康保持増進措置の全部または一部を外部機関に委託する場合には、委託先において、 情報管理体制が適切か事前に確認しなければならないとされています。
(5)本人の同意に関する事項
次の①から⑥までについて留意する必要があります。
①事業者が、労働者から提出された診断書の内容以外の情報について医療機関から健康情報を収集する必要がある場合、事業者から求められた情報を医療機関が提供することは、第三者提供に該当するため、医療機関は労働者から同意を得る必要があります(個人情報保護法23条1項)。この場合においても、事業者は、あらかじめこれらの情報を取得する目的を労働者に明らかにして承諾を得るとともに、必要に応じ、これらの情報は労働者本人から提出を受けることが望ましい、とされています。
②労働安全衛生法第66条第1項から第4項までの規定に基づく健康診断ならびに労働安全衛生法第66条の8第1項、第66条の8の2第1項および第66条の8の4第1項の規定に基づく面接指導については、これらの規定において事業者は医師もしくは歯科医師による健康診断または医師による面接指導を行わなければならないとされています。事業者は、健康診断または面接指導の実施にあたって、外部機関に健康診断または面接指導の実施を委託する場合には、事業者は、健康診断または面接指導の実施に必要な労働者の個人情報を外部機関に提供する必要があります。また、労働安全衛生法第66条の3、第66条の4、第66条の8第3項および第4項(第66条の8の2第2項および第66条の8の4第2項の規定により準用する場合を含みます。)において、事業者は、健康診断または面接指導の結果の記録および当該結果にかかる医師または歯科医師からの意見聴取が義務づけられており、第66条の6において、事業者は、健康診断結果の労働者に対する通知が義務づけられています。事業者がこれらの義務を遂行するためには、健康診断または面接指導の結果が外部機関から事業者に報告(提供)されなければなりません。これらのことから、事業者が外部機関にこれらの健康診断または面接指導を委託するために必要な労働者の個人情報を外部機関に提供し、また、外部機関が委託元である事業者に対して労働者の健康診断または面接指導の結果を報告(提供)することは、それぞれ労働安全衛生法に基づく事業者の義務を遂行する行為であり、個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当し、本人の同意を得なくても第三者提供の制限は受けない、とされています。
③事業者は、ストレスチェックの実施にあたって、外部機関にストレスチェックの実施を委託する場合には、ストレスチェックの実施に必要な労働者の個人情報を外部機関に提供する必要があります。この場合において、当該提供行為は、労働安全衛生法に基づく事業者の義務を遂行する行為であり、個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当することから、本人の同意を得なくても第三者提供の制限は受けません。また、労働安全衛生法第66条の10第2項において、あらかじめストレスチェックを受けた労働者の同意を得ないで、その結果を事業者に提供してはならないこととされています。このため、外部機関が、あらかじめ本人の同意を得ないで、委託元である事業者に対してストレスチェック結果を提供することはできません。さらに、労働安全衛生法第66条の10第3項において、ストレスチェックの結果の通知を受けた労働者であって、厚生労働省令(労働安全衛生規則第52条の15:検査の結果、心理的な負担の程度が高い者であって、面積指導を受ける必要があると検査した医師等が認めたもの)で定める要件に該当するものが申し出たときは、事業者は、面接指導の実施が義務付けられています。事業者がこの義務を遂行するためには、当該労働者が厚生労働省令で定める要件に該当するかどうかを確認するために、労働者にストレスチエックの提出を求めるほか、ストレスチェックを実施した外部機関に対してストレスチェック結果の提供を求めることも考えられますが、労働者の申し出は、事業者へのストレスチェック結果の提供に同意したとみなすことができることから、事業者の求めに応じて外部機関が事業者にストレスチェック結果を提供するに当たって、改めて本人の同意を得る必要はない、としています。
④労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(以下「労働者派遣法」という。)第45条第10項および第14項において、派遣先事業者が労働安全衛生法第66条第2項から第4項までの規定に基づく健康診断およびこれらの健康診断の結果に基づき労働動安全衛生法第66条の4の規定に基づく医師からの意見聴取を行ったときは、健康診断の結果を記載した書面を作成し、当該派遣元事業者に送付するとともに、当該医師の意見を、当該派遣元事業者に通知しなければならないこととされています。このことから、派遣先事業者が、派遣元事業者にこれらの健康診断の結果および医師の意見を記載した書面を提供することは、労働者派遣法の規定に基づく行為であり、個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当し、本人の同意を得なくても第三者提供の制限は受けない、とされています。
⑤事業者が、健康保険組合等に対して労働者の健康情報の提供を求める場合、健康保険組合等は当該事業者に当該労働者の健康情報を提供することを目的として取得していないため、個人情報保護法第23条の第三者提供の制限に該当し、健康保険組合等は労働者(被保険者)の同意を得る必要があります。この場合においても、事業者は、あらかじめこれらの情報を取得する目的を労働者に明らかにして承諾を得るとともに、必要に応じ、これらの情報は労働者本人から提出を受けることが望ましい、とされています。ただし、事業者が健康保険組合等と共同で健康診断を実施する場合等において、個人情報保護法第23条第5項第3号の要件を満たしている場合は、当該共同利用者は第三者に該当しないため、当該労働者の同意を得る必要はない、とされています。
⑥高齢者の医療の確保に関する法律第27条第2項および第3項の規定により、医療保険者は、加入者を使用している事業者または使用していた事業者に対し、厚生労働省令で定めるところにより、労働安全衛生法その他の法令に基づき、その事業者が保存している加入者にかかる健康診断に関する記録の写しを提供するよう求めることができ、健康診断に関する記録の写しの提供を求められた事業者は厚生労働省令で定めるところにより、その記録の写しを提供しなければならない、とされています。このことから、特定健康診査及び特定保健指導の実施に関する基準(平成19年厚生労働省令第157号)第2条に定める項目にかかる記録の写しについては、医療保険者からの提供の求めがあった場合に事業者が当該記録の写しを提供することは、法令に基づくものであるので、個人情報保護法第23条第1項第1号に該当し、本人の同意なく提供できます。なお、事業者が保存している加入者にかかる健康診断に関する記録のうち、同基準第2条に定める項目に含まれないもの(業務歴、視力、聴力、胸部エックス線検査、略療検査)については、労働者に対して定期健康診断の結果の情報を医療保険者に提供する旨を明示し、同意を得ることが必要となりますが、同意については、定期健康診断実施時の受診案内等への記載や健診会場での掲示等黙示によるものが含まれる、とされています。
(6)保有個人データの開示
事業者が保有する健康情報のうち、労働安全衛生法第66条の8第3項(第66条の8の2第2項および第66条の8の4第2項の規定により準用する場合を含みます。)および第66条の10第4項の規定に基づき事業者が作成した面接指導の結果の記録その他の医師、保健師等の判断および意見ならびに詳細な医学的情報を含む健康情報については、本人から開示の請求があった場合は、原則として開示しなければなりません。ただし、本人に開示することにより、個人情報保護法第25条第1項各号のいずれかに該当する場合は、その全部または一部を開示しないことができます。
(7)苦情処理体制
健康情報にかかる苦情および相談に適切に対応するため、必要に応じて産業医、保健師、衛生管理者等の産業保健業務従事者と連携を図ることができる体制を整備しておくことが望ましい、とされています。
(8)その他事業者が配慮すべき事項
①事業者は、労働安全衛生法に基づく健康診断等の実施を外部機関に委託することが多いことから、健康情報についても外部とやり取りをする機会が多いことや、事業場内においても健康情報を産業保健業務従事者以外の者に取り扱わせる場合があること等に鑑み、あらかじめ、個人情報保護法第27条から第34条において掲げられている事項のほか、以下に掲げる事項について事業場内の規程等として定め、これを労働者に周知するとともに、関係者に当該規程に従って取り扱わせることが望ましい、とされています。
(ⅰ)健康情報の利用目的および利用方法に関すること
(ⅱ)健康情報にかかる安全管理体制に関すること
(ⅲ)健康情報を取り扱う者およびその権限ならびに取り扱う健康情報の範囲に関すること
(ⅳ)健康情報の開示、訂正、追加または削除の方法(廃棄に関するものを含みます。)に関すること
(ⅴ)健康情報の取扱いに関する苦情の処理に関すること
②事業者は、①にいう規程等を定めるときは、衛生委員会等において審議を行ったうえで、労働組合等に通知し、必要に応じて協議を行うことが望ましい、とされています。
③HIV感染症やB型肝炎等の職場において感染したり、蔓延したりする可能性が低い感染症に関する情報や、色覚検査等の遺伝性疾病に関する情報については、職業上の特別な必要性がある場合を除き、事業者は、労働者等から取得すべきではありません。ただし、労働者の求めに応じて、これらの疾病等の治療等のため就業上の配慮を行う必要がある場合については、当該就業上の配慮に必要な情報にかぎって、事業者が労働者から取得することは考えられる、とされています。
④労働者の健康情報は、 医療機関において「医療·介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に基づき取り扱われ、また、健康保険組合において「健康保険組合等における個人情報の適切な取扱いのためのガイドライン」に基づき取り扱われることから、事業者は、特に安全管理措置等について、両ガイドラインの内容についても留意することが期待されている、とされています。
≪参考となる法令·通達等≫
□個人情報保護法20条、21条、23条、25条、27条 等
□安衛法66条、66条の4、66条の6、66条の8 等
□平28.11.30個保委告6
□平28.11.30個保委告8
□平29.5.29個情749・基発0529第3
※文書作成日時点での法令に基づく内容となっております。