労働安全衛生法は、健康診断やストレスチェック、面接指導の実施の事務に従事した者がその実施に関して知り得た従業員の秘密を漏らすことを禁止しており、これに違反した者は6か月以下の懲役または50万円以下の罰金に処せられます。
また、個人情報保護法は、顧客や取引先など外部に関する情報のみならず、従業員や株主など内部に関する情報も保護の対象としています。ですから、従業員の雇用管理に関する情報にも個人情報保護法が適用されるので、特に健康情報の取扱いには注意が必要です。
個人情報保護法は、本人(個人情報によって識別される特定の個人)の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報を「要配慮個人情報」とし、個人情報取扱事業者が、法定の例外を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得したり(委託・共同利用による取得は別)、第三者に提供したりすることを禁止しています。
労働者の心身の状態に関する情報(健康情報)には、病歴、健康診断、健康測定やストレスチェックの結果、面接指導や保健指導を受けた事実・内容など「要配慮個人情報」を含むものがあるので、個人情報保護法上、個人情報取扱事業者は、従業員の健康情報を、原則として従業員本人から直接取得しなければなりません。
健康情報の取得方法として、主治医や家族などの第三者から提供を受ける場合もあります。要配慮個人情報に限らず、個人情報の保護に関する法律(個人情報保護法)は、法定の例外を除き、本人の同意を得ないで第三者に個人情報を提供することを禁止しています。企業が第三者から健康情報の提供を受けるには、あらかじめ労働者本人の同意を得なければならないのですが、同意を得たとしても、第三者から提供を受けるに際して、個人情報取扱事業者は、当該第三者による取得の経緯を確認し、その経緯や、提供者の氏名、提供の年月日、本人の氏名、個人データの項目等を記録しなければなりません。
健康情報の利用目的は、従業員の健康管理や就業上の措置を実施するために取得するのですから、できる限り個別具体的に特定した方がよいですし、本人の同意がない限り、これを超える利用目的の変更をすることはできないと考えられます。
また、個人情報取扱事業者は、利用目的の達成に必要な範囲内において、データベース化された健康情報を正確かつ最新の内容に保つとともに、従業員が退職して一定期間が経過した場合など利用の必要性がなくなったときは、遅滞なく消去するよう努めなければなりません。特に健康情報は「要配慮個人情報」を含むので、情報漏洩が起こると、退職従業員に対する損害賠償責任は免れなくなります。実際の消去には注意が必要であり、紙はシュレッダーに掛ける、記録媒体を破壊するなどをし、消去時に情報漏洩が起こらないようにしなければなりません。