メールでの
要配慮個人情報に当たる健康情報
労働安全衛生法は、健康診断やストレスチェック、面接指導の実施の事務に従事した者がその実施に関して知り得た従業員の秘密を漏らすことを禁止しています。これに違反した者は6か月以下の懲役または50万円以下の罰金に処せられます。
また、個人情報の保護に関する法律(個人情報保護法)は、顧客や取引先など外部に関する情報のみならず、従業員や株主など内部に関する情報も保護の対象としています。ですから、従業員の雇用管理に関する情報にも個人情報保護法が適用されるので、特に健康情報の取扱いには注意が必要です。
個人情報保護法は、本人(個人情報によって識別される特定の個人)の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報を「要配慮個人情報」とし、個人情報取扱事業者が、法定の例外を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得したり(委託・共同利用による取得は別)、第三者に提供したりすることを禁止しています。
健康情報の取得・利用に関する義務
労働者の心身の状態に関する情報(健康情報)には、病歴、健康診断、健康測定やストレスチェックの結果、面接指導や保健指導を受けた事実・内容など「要配慮個人情報」を含むものがあります。そこで、個人情報保護法上、個人情報取扱事業者は、従業員の健康情報を、原則として従業員本人から直接取得するか、あらかじめ本人の同意を得なければなりません。
健康情報の取得方法として、主治医や家族などの第三者から提供を受ける場合もあります。要配慮個人情報に限らず、個人情報保護法は、法定の例外を除き、本人の同意を得ないで第三者に個人情報を提供することを禁止しています。企業が第三者から健康情報の提供を受けるには、あらかじめ従業員本人の同意を得なければならないのですが、同意を得たとしても、第三者から提供を受けるに際して、個人情報取扱事業者は、当該第三者による取得の経緯を確認し、その経緯や、提供者の氏名、提供の年月日、本人の氏名、個人データの項目等を記録しなければなりません。
健康情報の利用目的は、従業員の健康管理や就業上の措置を実施するために取得するのですから、できる限り個別具体的に特定した方がよいです。この利用目的は従業員に通知するか、公表しなければなりません。そして、個人情報取扱事業者は、本人の同意がない限り、利用目的を超える利用をしてはならず、変更前と合理的な関連性を超える利用目的の変更をすることはできないと考えられます。
なお、同法による規制とは別に、従業員の人格権に基づくプライバシーを保護するため、要配慮個人情報に該当しない情報についても、取得、共有や利用をするに当たっては、本人から事前同意を得たり、その範囲や内容を限定したりするなど取扱いには注意する必要があります。
また、個人情報取扱事業者は、利用目的の達成に必要な範囲内において、データベース化された健康情報を正確かつ最新の内容に保つとともに、従業員が退職して一定期間が経過した場合など利用の必要性がなくなったときは、遅滞なく消去するよう努めなければなりません。特に健康情報は「要配慮個人情報」を含むので、情報漏洩が起こると、退職従業員に対する損害賠償責任は免れなくなります。実際の消去には注意が必要であり、紙はシュレッダーに掛ける、記録媒体を破壊するなどをし、消去時に情報漏洩が起こらないようにしなければなりません。
[経営法務サポート]
弁護士佐久間大輔は、企業法務に関するコンサルティングをしています。詳しくは以下のページをご参照ください。
>> 「企業法務コンサルティング」
[サービス料]
弁護士費用については、次のページをご覧ください。
>> 「企業法務の個別案件対応サービス料」
