本コラムは、個人情報保護法における「健康診断結果」等の要配慮個人情報の取り扱いを解説しています。取得時の同意や厳格な安全管理措置、漏えい時の報告義務など、重要なポイントについて、具体例を交えながら説明します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 「健康情報」の重要性

1 要配慮個人情報

個人情報保護法では、氏名や住所などの一般的な個人情報のほか、不当な差別や偏見を生じさせるおそれがある「要配慮個人情報」という規定を置いています。

「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます

雇用の現場で登場する「要配慮個人情報」の具体例としては、以下のようなものがあります。

●健康診断の結果:労働安全衛生法に基づいて行われる健康診断や、ストレスチェックの結果など
●病歴:がん、糖尿病、うつ病など、過去または現在の特定の病気にかかった経歴。
●保健指導・診療・調剤情報:健康診断の結果に基づいて行われた保健指導の内容、医師による診療記録など。
●障害に関する情報:身体障害者手帳の有無や等級、障害の内容など。

これらの情報は、一度流出したり、不適切に利用されたりすると、本人が社会生活を送る上で、「病気だから」「障害があるから」といった偏見にさらされたり、昇進で不当な扱いを受けたりする恐れがあります。

そのため、個人情報保護法は、取得や提供のハードルを高く設定しています。

2 取得の場面

 「要配慮個人情報」の特徴の1つとして、取得する際に、原則として「あらかじめ本人の同意」が必要という点が挙げられます。

一般的な個人情報であれば、利用目的の通知や公表等により基本的には本人の同意なく取得できますが、要配慮個人情報については厳格な規制があります。

もっとも、労働安全衛生法などの法令に基づいて実施する定期健康診断の法定項目の結果については、本人の同意なく取得することが可能です。

このような「法令に基づく場合」は、要配慮個人情報の取得制限の例外となります。

したがって、当該結果を会社が受け取ることについては、同意を取らなくても問題ありません。

3 保管の場面

健康情報を取得した後は、どのように管理し、どのように使うかが問題となります。

健康診断の結果には、他人に知られたくない数値や所見が含まれています。これを、業務に関係のない従業員が見られる状態にしておくことは非常に危険です。

そのため、健康情報については、漏えいや紛失を防ぐための安全管理措置を講じなければなりません。例えば、以下の点を見直す必要があります。

●物理的安全管理措置:健康診断結果の紙ファイルは、鍵のかかるキャビネットに保管して、鍵の保管者を限定する。
●技術的安全管理措置:健康データをパソコンで管理する場合、アクセスできる人をIDやパスワードで制限する。また、データにはパスワードをかけるとともに、パスワードを知る者を限定する。
●人的安全管理措置:担当者が不用意に情報を話したりしないよう、秘密保持の教育を徹底する。

第3 万が一、漏えい等が発生した場合

要配慮個人情報が含まれる個人データの漏えい等は、たった1件であっても、個人情報保護委員会への報告と本人への通知が義務付けられています。「1件くらいなら大丈夫だろう」と考えてはいけません。健康情報のようなセンシティブな情報は、1件だけでも個人の権利利益を侵害する恐れが大きいため、厳しいルールになっています。

万が一、漏えいや紛失、誤送信などが発生した場合は、直ちに責任者に報告し、取り急ぎ、速やかに(概ね3~5日以内に)個人情報保護委員会へ報告する体制を整えておく必要があります。

なお、「漏えいしたか、漏えいしていないか、わからない」という場合でも、報告義務がありますので、注意が必要です。

第4 最後に

従業員の健康情報は、企業が安全配慮義務を果たし、従業員の身体生命を守るための重要なものです。しかし、その取扱いは、一般的な個人情報よりもいっそう注意しなければならないものです。

もし、現在の取り扱い体制に不安がある場合には、専門家である弁護士にご相談ください。

ご相談
グリーンリーフ法律事務所は、設立以来35年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
  ※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。

■この記事を書いた弁護士
弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治
弁護士のプロフィールはこちら