雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項

雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項

第1 趣旨

この留意事項は、雇用管理分野における労働安全衛生法(昭和 47 年法律第 57 号。以下「安衛法」という。)等に基づき実施した健康診断の結果等の健康情報の取扱いについて、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成 28 年個人情報保護委員会告示第6号。以下「ガイドライン」という。)に定める措置の実施に当たって、事業者において適切に取り扱われるよう、特に留意すべき事項を定めるものである。

なお、事業者は、この留意事項に記載のない事項等については、ガイドライン、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成 28 年個人情報保護委員会告示第7号)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成 28 年個人情報保護委員会告示第8号)、「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成 28 年個人情報保護委員会告示第9号)及び「個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)」(令和3年個人情報保護委員会告示第7号)をそれぞれ参照されたい。

第2 健康情報の定義

個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第2条第1項及びガイドライン 2-1 に定める個人情報のうち、この留意事項において取り扱う労働者の健康に関する個人情報(以下「健康情報」という。)は、健康診断の結果、病歴、その他の健康に関するものをいい、健康情報に該当するものの例として、次に掲げるものが挙げられる。

この健康情報については、法第2条第3項及びガイドライン 2-3 に定める「要配慮個人情報」(注)に該当する場合が多い。なお、要配慮個人情報に該当しない健康情報についても、労働者に関する機微な情報が含まれ得ること等から、要配慮個人情報に準じて取り扱うことが望ましい。

  1. 産業医、保健師、衛生管理者その他の労働者の健康管理に関する業務に従事する者(以下「産業保健業務従事者」という。)が労働者の健康管理等を通じて得た情報
  2. 安衛法第 65 条の2第1項の規定に基づき、事業者が作業環境測定の結果の評価に基づいて、労働者の健康を保持するため必要があると認めたときに実施した健康診断の結果
  3. 安衛法第 66 条第1項から第4項までの規定に基づき事業者が実施した健康診断の結果並びに安衛法第 66 条第5項及び第 66 条の2の規定に基づき労働者から提出された健康診断の結果
  4. 安衛法第 66 条の4の規定に基づき事業者が医師又は歯科医師から聴取した意見及び安衛法第 66 条の5第1項の規定に基づき事業者が講じた健康診断実施後の措置の内容
  5. 安衛法第 66 条の7の規定に基づき事業者が実施した保健指導の内容
  6. 安衛法第 66 条の8第1項、第 66 条の8の2第1項及び第 66 条の8の4第1項の規定に基づき事業者が実施した面接指導の結果並びに安衛法第 66 条の8第2項(第 66 条の8の2第2項及び第 66 条の8の4第2項の規定により準用する場 合を含む。)の規定に基づき労働者から提出された面接指導の結果
  7. 安衛法第 66 条の8第4項(第 66 条の8の2第2項及び第 66 条の8の4第2項 の規定により準用する場合を含む。)の規定に基づき事業者が医師から聴取した意見及び安衛法第 66 条の8第5項(第 66 条の8の2第2項及び第 66 条の8の4第2項の規定により準用する場合を含む。)の規定に基づき事業者が講じた面接指導実施後の措置の内容
  8. 安衛法第 66 条の9の規定に基づき事業者が実施した面接指導又は面接指導に準ずる措置の結果
  9. 安衛法第 66 条の 10 第1項の規定に基づき事業者が実施した心理的な負担の程度を把握するための検査(以下「ストレスチェック」という。)の結果
  10. 安衛法第 66 条の 10 第3項の規定に基づき事業者が実施した面接指導の結果
  11. 安衛法第 66 条の 10 第5項の規定に基づき事業者が医師から聴取した意見及び同条第6項の規定に基づき事業者が講じた面接指導実施後の措置の内容
  12. 安衛法第 69 条第1項の規定に基づく健康保持増進措置を通じて事業者が取得した健康測定の結果、健康指導の内容等
  13. 労働者災害補償保険法(昭和 22 年法律第 50 号)第 27 条の規定に基づき、労働者から提出された二次健康診断の結果
  14. 健康保険組合等が実施した健康診断等の事業を通じて事業者が取得した情報
  15. 受診記録、診断名等の療養の給付に関する情報
  16. 事業者が医療機関から取得した診断書等の診療に関する情報
  17. 労働者から欠勤の際に提出された疾病に関する情報
  18. (1)から(17)までに掲げるもののほか、任意に労働者等から提供された本人の病歴、健康診断の結果、その他の健康に関する情報

(注) 個人情報取扱事業者等の義務等に係る規定(法第4章)においては、法第2条第3項及びガイドライン 2-3 に定める「要配慮個人情報」の取得(法第 20 条第2項)及び個人データの第三者提供(法第 27 条第1項)をするに当たっては、原則として本人の同意が必要である。なお、「要配慮個人情報」については、法第 27 条第2項の規定による第三者提供(第三者への提供を利用目的とすること等をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出ることで、あらかじめ本人の同意を得ずに、個人データを第三者に提供すること。)は認められない。

また、例えば、次のような場合には、健康情報の取得及び第三者提供に際して、本人の同意は必要ない。

  • (a)事業者が、法令に基づき、労働者の健康診断の結果を取得し、又は第三者に提供する場合(法第 20 条第2項第1号、第 27 条第1項第1号)
  • (b)法第 27 条第5項第1号から第3号までに掲げる第三者に該当しない場合(例:事業者が医療保険者と共同で健康診断を実施する場合において、健康情報が共同して利用する者に提供される場合等)

第3 健康情報の取扱いについて事業者が留意すべき事項

  1. 事業者が健康情報を取り扱うに当たっての基本的な考え方
    1. 第2の(1)から( 18 )までに挙げた健康情報のうち要配慮個人情報に該当するものについては、本人に対する不利益な取扱い又は差別等につながるおそれがあるため、事業者において、その取扱いに特に配慮を要する。要配慮個人情報に該当しない健康情報についても、第2のとおり、労働者に関する機微な情報が含まれ得ること等から、要配慮個人情報に準じて取り扱うことが望ましい。
    2. 事業者は、健康情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならない。また、原則としてあらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、健康情報を取り扱ってはならない。

      なお、安衛法第 104 条第1項に基づき、事業者は、安衛法又はこれに基づく命令の規定による措置の実施に関し、労働者の健康情報を収集し、保管し、又は使用するに当たっては、労働者の健康の確保に必要な範囲内で労働者の健康情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な理由がある場合は、この限りでない。

  2. 法第 19 条に規定する不適正な利用の禁止に関する事項(ガイドライン 3-2 関係)

    事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により健康情報を利用してはならない。

  3. 法第 20 条に規定する適正な取得及び法第 21 条に規定する取得に際しての利用目的の通知等に関する事項(ガイドライン 3-3 関係)
    1. 事業者は、法令に基づく場合等を除き、労働者の健康情報のうち要配慮個人情報に該当するものを取得する場合は、あらかじめ本人の同意を得なければならない。
    2. また、事業者は、本人から直接書面に記載された当該本人の個人情報を取得する場合は、自傷他害のおそれがあるなど、労働者の生命、身体又は財産の保護のために緊急の必要がある場合等を除き、あらかじめ、本人に利用目的を明示しなければならない。
    3. 安衛法第 66 条の 10 第2項において、ストレスチェックを実施した医師、保健 師その他の厚生労働省令で定める者(以下「実施者」という。)は、労働者の同意を得ないでストレスチェック結果を事業者に提供してはならないこととされており、事業者は、実施者又はその他のストレスチェックの実施の事務に従事した者(以下「実施事務従事者」という。)に提供を強要する又は労働者に同意を強要する等の不正の手段により、労働者のストレスチェックの結果を取得してはならない。
  4. 法第 23 条に規定する安全管理措置及び法第 24 条に規定する従業者の監督に関する事項(ガイドライン 3-4-2 及び 3-4-3 関係)
    1. 事業者は、健康情報のうち診断名、検査値、具体的な愁訴の内容等の加工前の情報や詳細な医学的情報の取扱いについては、その利用に当たって医学的知識に基づく加工・判断等を要することがあることから、産業保健業務従事者に行わせることが望ましい。
    2. 事業者は、産業保健業務従事者から産業保健業務従事者以外の者に健康情報を提供させるときは、当該健康情報が労働者の健康確保に必要な範囲内で利用されるよう、必要に応じて、産業保健業務従事者に健康情報を適切に加工させる等の措置を講ずること。
    3. 個人のストレスチェック結果を取り扱う実施者及び実施事務従事者については、あらかじめ衛生委員会等による調査審議を踏まえて事業者が指名し、全ての労働者に周知すること。
    4. ストレスチェック結果は、詳細な医学的情報を含むものではないため、事業者は、その情報を産業保健業務従事者以外の者にも取り扱わせることができるが、事業者への提供について労働者の同意を得ていない場合には、ストレスチェックを受ける労働者について解雇、昇進又は異動(以下「人事」という。)に関して直接の権限を持つ監督的地位にある者に取り扱わせてはならない。また、事業者は、ストレスチェック結果を労働者の人事を担当する者(人事に関して直接の権限を持つ監督的地位にある者を除く。)に取り扱わせるときは、労働者の健康確保に必要な範囲を超えて人事に利用されることのないようにするため、次に掲げる事項を当該者に周知すること。
      • (a)当該者には安衛法第 105 条の規定に基づき秘密の保持義務が課されること。
      • (b)ストレスチェック結果の取扱いは、医師等のストレスチェックの実施者の指示により行うものであり、所属部署の上司等の指示を受けて、その結果を 漏らしたりしてはならないこと。
      • (c)ストレスチェック結果を、自らの所属部署の業務等のうちストレスチェックの実施の事務とは関係しない業務に利用してはならないこと。
    5. インターネットや社内イントラネット等の情報通信技術を利用してストレスチェックを実施する場合は、次に掲げる事項を満たす必要があること。
      • (a)個人情報の保護や改ざんの防止等のセキュリティの確保のための仕組みが整っており、その仕組みに基づいて個人の結果の保存が適切になされていること。
      • (b)本人以外に個人のストレスチェック結果を閲覧することのできる者の制限がなされていること。
  5. 法第 25 条に規定する委託先の監督に関する事項(ガイドライン 3-4-4 関係)

    健康診断、ストレスチェック、面接指導又は健康保持増進措置の全部又は一部を医療機関、メンタルヘルスケアへの支援を行う機関等(以下「外部機関」という。)に委託する場合には、当該委託先において、情報管理が適切に行われる体制が整備されているかについて、あらかじめ確認しなければならない。

  6. 法第 26 条に規定する漏えい等の報告等に関する事項(ガイドライン 3-5 関係)

    事業者は、その取り扱う個人データの漏えい等又はそのおそれのある事案(以下「漏えい等事案」という。)が発覚した場合には、漏えい等事案の内容等に応じて、次に掲げる事項について必要な措置を講じなければならない。

    1. 事業者内部における報告及び被害の拡大防止

      責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずること。

    2. 事実関係の調査及び原因の究明

      漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずること。

    3. 影響範囲の特定

      上記(2)で把握した事実関係による影響範囲の特定のために必要な措置を講ずること。

    4. 再発防止策の検討及び実施

      上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずること。

    5. 個人情報保護委員会への報告及び本人への通知

      個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)第7条各号に定める事態を知ったときは、ガイドライン 3-5-3 に従って、個人情報保護委員会に報告するとともに、ガイドライン 3-5-4 に従って、本人への通知等を行わなければならない。なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。

  7. 法第 27 条第1項に規定する第三者提供に関する本人の同意等に関する事項(ガイドライン 3-6 関係)
    1. 事業者が、労働者から提出された診断書の内容以外の情報について医療機関から健康情報を収集する必要がある場合、事業者から求められた情報を医療機関が提供することは、法第 27 条の第三者提供に該当するため、医療機関は、原則として労働者から同意を得る必要がある。この場合においても、事業者は、あらかじめこれらの情報を取得する目的を労働者に明らかにして承諾を得るとともに、必要に応じ、これらの情報は労働者本人から提出を受けることが望ましい。
    2. 安衛法第 66 条第1項から第4項までの規定に基づく健康診断並びに安衛法第66 条の8第1項、第 66 条の8の2第1項及び第 66 条の8の4第1項の規定に基づく面接指導については、これらの規定において事業者は医師若しくは歯科医師による健康診断又は医師による面接指導を行わなければならないとされている。事業者は、健康診断又は面接指導の実施に当たって、外部機関に健康診断又は面接指導の実施を委託する場合には、事業者は、健康診断又は面接指導の実施に必要な労働者の個人情報を外部機関に提供する必要がある。また、安衛法第66 条の3、第 66 条の4、第 66 条の8第3項及び第4項(第 66 条の8の2第2項及び第 66 条の8の4第2項の規定により準用する場合を含む。)において、事業者は、健康診断又は面接指導の結果の記録及び当該結果に係る医師又は歯科医師からの意見聴取が義務付けられており、安衛法第 66 条の6において、事業者は、健康診断結果の労働者に対する通知が義務付けられている。事業者がこれらの義務を遂行するためには、健康診断又は面接指導の結果が外部機関から事業者に報告(提供)されなければならない。これらのことから、事業者が外部機関にこれらの健康診断又は面接指導を委託するために必要な労働者の個人情報を外部機関に提供し、また、外部機関が委託元である事業者に対して労働者の健康診断又は面接指導の結果を報告(提供)することは、それぞれ安衛法に基づく事業者の義務を遂行する行為であり、法第 27 条第1項第1号の「法令に基づく場合」に該当し、本人の同意を得なくても第三者提供の制限は受けない。
    3. 事業者は、ストレスチェックの実施に当たって、外部機関にストレスチェックの実施を委託する場合には、ストレスチェックの実施に必要な労働者の個人情報を外部機関に提供する必要がある。この場合において、当該提供行為は、7(2)に規定する健康診断等の場合と同様に、安衛法に基づく事業者の義務を遂行する行為であり、法第 27 条第1項第1号の「法令に基づく場合」に該当することから、本人の同意を得なくても第三者提供の制限は受けない。

      また、安衛法第 66 条の 10 第2項において、あらかじめストレスチェックを受けた労働者の同意を得ないで、その結果を事業者に提供してはならないこととされている。このため、外部機関が、あらかじめ本人の同意を得ないで、委託元である事業者に対してストレスチェック結果を提供することはできない。

      さらに、安衛法第 66 条の 10 第3項において、ストレスチェックの結果の通知を受けた労働者であって、厚生労働省令で定める要件に該当するものが申し出たときは、事業者は、面接指導の実施が義務付けられている。事業者がこの義務を遂行するためには、当該労働者が厚生労働省令で定める要件に該当するかどうかを確認するために、労働者にストレスチェックの提出を求めるほか、ストレスチェックを実施した外部機関に対してストレスチェック結果の提供を求めることも考えられるが、労働者の申出は、事業者へのストレスチェック結果の提供に同意したとみなすことができることから、事業者の求めに応じて外部機関が事業者にストレスチェック結果を提供するに当たって、改めて本人の同意を得る必要はない。

      なお、事業者が、安衛法第 66 条の8第1項、第 66 条の8の2第1項、第 66 条の8の4第1項又は第 66 条の 10 第3項の規定に基づく面接指導を委託するために必要な労働者の個人情報を外部機関に提供し、また、外部機関が委託元である事業者に対して労働者の面接指導の結果を提供することは、7(2)に規定する健康診断等の場合と同様に、安衛法に基づく事業者の義務を遂行する行為であり、法第 27 条第1項第1号の「法令に基づく場合」に該当し、本人の同意を得なくても第三者提供の制限は受けない。この場合において、本人の同意を得なくても第三者提供の制限を受けない健康情報には、面接指導の実施に必要な情報として事業者から当該外部機関に提供するストレスチェック結果も含まれる。

    4. 労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和 60 年法律第 88 号。以下「労働者派遣法」という。)第 45 条第 10 項及び第 14項において、派遣先事業者が安衛法第 66 条第2項から第4項までの規定に基づく健康診断及びこれらの健康診断の結果に基づき安衛法第 66 条の4の規定に基づく医師からの意見聴取を行ったときは、健康診断の結果を記載した書面を作成し、当該派遣元事業者に送付するとともに、当該医師の意見を当該派遣元事業者に通知しなければならないこととされている。このことから、派遣先事業者が、派遣元事業者にこれらの健康診断の結果及び医師の意見を記載した書面を提供することは、労働者派遣法の規定に基づく行為であり、法第 27 条第1項第1号の「法令に基づく場合」に該当し、本人の同意を得なくても第三者提供の制限は受けない。
    5. 事業者が、健康保険組合等に対して労働者の健康情報の提供を求める場合、法第 27 条に基づき、原則として健康保険組合等は労働者(被保険者)の同意を得る必要がある。この場合においても、事業者は、あらかじめこれらの情報を取得する目的を労働者に明らかにして承諾を得るとともに、必要に応じ、これらの情報は労働者本人から提出を受けることが望ましい。

      ただし、事業者が健康保険組合等と共同で健康診断を実施する場合等法第 27条第5項第1号から第3号までに掲げる場合においては、健康情報の提供を受ける者は第三者に該当しないため、当該労働者の同意を得る必要はない。

    6. 高齢者の医療の確保に関する法律(昭和 57 年法律第 80 号。以下「高確法」という。)第 27 条第3項及び第4項並びに健康保険法(大正 11 年法律第 70 号。以下「健保法」という。)第 150 条第2項及び第3項その他の医療保険各法の規定において、医療保険者は、事業者に対し、健康診断に関する記録の写し(高確法第27 条第3項の規定に基づく場合は、特定健康診査及び特定保健指導の実施に関する基準(平成 19 年厚生労働省令第 157 号。以下「実施基準」という。)第2条各号に掲げる項目に関する記録の写しに限り、また、健保法その他の医療保険各法の規定に基づく場合は、実施基準第2条各号に掲げる項目に関する記録の写しその他健保法第 150 条第1項等の規定により被保険者等の健康の保持増進のために必要な事業を行うに当たって医療保険者が必要と認める情報に限る。)の提供を求めることができ、健康診断に関する記録の写しの提供を求められた事業者は、当該記録の写しを提供しなければならないとされている。このため、事業者が、これらの規定に基づき医療保険者の求めに応じて健康診断の結果を提供する場合は、法第 27 条第1項第1号の「法令に基づく場合」に該当することから、本人の同意を得なくても第三者提供の制限は受けない。
  8. 法第 33 条に規定する保有個人データの開示に関する事項(ガイドライン 3-8-2 関係)

    事業者が保有する健康情報のうち、安衛法第 66 条の8第3項(第 66 条の8の2 第2項及び第 66 条の8の4第2項の規定により準用する場合を含む。)及び第 66 条の 10 第4項の規定に基づき事業者が作成した面接指導の結果の記録その他の医師、保健師等の判断及び意見並びに詳細な医学的情報等の情報であって保有個人データに該当するものについては、本人から開示の請求があった場合は、原則として電磁的記録の提供による方法、書面の交付による方法その他当該事業者の定める方法のうち本人が請求した方法により、遅滞なく、開示しなければならない。ただし、本人に開示することにより、法第 33 条第2項各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

  9. 法第 40 条に規定する苦情の処理に関する事項(ガイドライン 3-9 関係)

    ガイドライン 3-9 に定める苦情を処理するための窓口については、健康情報に係る苦情に適切に対応するため、必要に応じて産業保健業務従事者と連携を図ることができる体制を整備しておくことが望ましい。

  10. その他事業者が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項
    1. 事業者は、安衛法に基づく健康診断等の実施を外部機関に委託することが多いことから、健康情報についても外部とやり取りをする機会が多いことや、事業場内においても健康情報を産業保健業務従事者以外の者に取り扱わせる場合があること等に鑑み、あらかじめ、ガイドライン 3-8 に掲げるもののほか、次に掲げる事項について事業場内の規程等として定め、これを労働者に周知するとともに、関係者に当該規程等に従って取り扱わせることが望ましい。
      • (a)健康情報の利用目的及び利用方法に関すること
      • (b)健康情報に係る安全管理体制に関すること
      • (c)健康情報を取り扱う者及びその権限並びに取り扱う健康情報の範囲に関すること
      • (d)健康情報の開示、訂正、追加又は削除の方法(廃棄に関するものを含む。)に関すること
      • (e)健康情報の取扱いに関する苦情の処理に関すること
    2. 事業者は、(1)の規程等を定めるときは、衛生委員会等において審議を行った上で、労働組合等に通知し、必要に応じて協議を行うことが望ましい。
    3. HIV感染症やB型肝炎等の職場において感染したり、蔓延したりする可能性が低い感染症に関する情報や、色覚検査等の遺伝性疾病に関する情報については、職業上の特別な必要性がある場合を除き、事業者は、労働者等から取得すべきでない。ただし、労働者の求めに応じて、これらの疾病等の治療等のため就業上の配慮を行う必要がある場合については、当該就業上の配慮に必要な情報に限って、事業者が労働者から取得することは考えられる。
    4. 労働者の健康情報は、医療機関において「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に基づき取り扱われ、また、健康保険組合において「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」に基づき取り扱われることから、事業者は、特に安全管理措置等について、両ガイダンスの内容についても留意することが期待されている。