「健康保険組合等における個人情報の適切 な取扱いのためのガイダンス」を補完する事例集(Q&A)【総論(「用語の定義」等関係)】
- <第三者提供 第27、第29、第30条関係>
- 問330
当健保組合では事業所とのコラボヘルスを推進するにあたり、互いが保有する健診結果等のデータを共有し、互いの事後指導に活用したいと考えていますが、法第 27 条第5項第3号「共同利用」に該当する場合、本人同意は要しないという理解でよいのでしょうか。
- (回答)
事業者が健康保険法第 150 条第2項に基づく健保組合の求めに応じて、健診結果を提供する場合については、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、本人同意は不要です。
また、それ以外の場合についても、法第 27 条第5項第3号に定める事項(事業内容及び個人データの項目、共同して利用する者の範囲、利用目的、データの管理について責任を有する者の氏名等)について、あらかじめ本人に通知、若しくは本人が知り得る状態に置く措置が実施された場合は、「共同利用」に該当し、提供先は「第三者」に該当しないことから本人同意を得る必要はありません。この場合、以下について留意が必要です。なお、トラブル回避の観点から、健診受診の際等に同意を取り付ける措置が望ましいと考えます。
- マル1 利用目的・・単に「社員、組合員の健康増進の為」といった広い表現ではなく「社員、組合員の中長期的な生活習慣病抑制の為、リスク保有者に適切な保健指導等のフォローを実施する為」等、合理的かつ組合員から納得が得られる利用目的である必要があります。
- マル2利用する者の範囲・・単に「コラボヘルスを推進する事業所」という広い表現ではなく、具体的な事業所名及びその部門を限定する等、利用目的に沿った範囲に限定すべきです。なお、コラボヘルスにおいては「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」(平成 29 年5月 29日付け個情第 749 号・基発第 0529 第3号個人情報保護委員会事務局長・厚生労働省労働基準局長通知別添)の安全管理措置及び従業者の監督に関する事項との整合性をとることが必要です。
- マル3 提供するデータの項目・・単に「健診結果」等の広い表現でなく、「BMI・血糖値・血圧・・」等詳細な項目内容とし、利用目的に沿ったものとすべきです。
- マル4 本人が知り得る状態に置く措置・・一般的手法としては HP や広報誌などによる周知が考えられますが、健保組合だけでなく、事業所も含めた双方による周知を徹底し、本人が知り得ている事が明らかな状況とする必要があります。例えば、健診の申し込み時に同意意思を表示して頂くようチェックボックスを設けるなどの措置がより望ましいといえます。