ストレスチェック制度が義務化(常時50人以上の事業場)されてから数年が経過し、多くの企業で年1回の実施が定着しつつあります。しかし、実施そのものは定着していても、「結果をどう管理すればよいか」「誰まで情報を共有してよいか」という情報保護・秘密保持の実務については、いまだ曖昧な運用が続いている企業が少なくありません。
ストレスチェックの結果は、従業員の心身の状態という極めてデリケートな情報を含みます。個人情報保護法上の「要配慮個人情報」にも該当するため、漏えいや不適切な利用が発生した場合、法的責任はもちろん、従業員との信頼関係に深刻なダメージを与えます。「会社に知られる」という不安から従業員が正直に回答しない、受検率が上がらないといった問題も、情報管理体制への不信感が根底にあることが多いです。
この記事では、中小企業の経営者・人事担当者が実務の現場で迷いやすいポイントを中心に、ストレスチェック結果の個人情報保護と秘密保持について、法律の要点を踏まえながら具体的な対応方法を解説します。
まず押さえておきたい法律の基本:何が禁止されていて、何が義務か
実務対応を正しく設計するためには、関連する法律・制度の骨格を理解しておくことが欠かせません。主に関係するのは労働安全衛生法と個人情報保護法、そして厚生労働省が定めたストレスチェック指針です。
労働安全衛生法上の主な規定
労働安全衛生法第66条の10は、ストレスチェックの実施・結果通知・面接指導の義務を定めています。ここで重要なのは、実施者(医師・保健師等)から事業者への個人結果の提供は、本人の同意なく行うことが禁止されているという点です。つまり、人事担当者や経営者が「全員の結果を見たい」と思っても、従業員本人が同意しない限り、それは法律違反になります。
また、同法第66条の10第3項は、面接指導の申し出を理由とした不利益取扱いを禁止しています。面接指導を受けたことを理由に解雇・降格・減給・人事評価に不利益に反映させることは、労働安全衛生規則第52条の13が明確に禁じています。さらに、結果の保存期間は法令上5年間とされています。
個人情報保護法上の位置づけ
ストレスチェックの結果は、個人情報保護法第2条第3項が定める「要配慮個人情報」(本人の心身の状態に関する情報で、不当な差別や偏見が生じないよう特に配慮が必要な情報)に該当します。要配慮個人情報は通常の個人情報よりも厳格な扱いが求められ、取得・利用・第三者への提供に際しては原則として本人の明示的な同意が必要です。
また同法第23条は、事業者に対して組織的・技術的・物理的・人的な安全管理措置を講じる義務を定めています。「なんとなく鍵のかかる棚にしまっている」「担当者が変わったらパスワードを共有した」といった曖昧な管理は、この安全管理措置の義務を果たしていないとみなされるリスクがあります。
社内の情報管理体制の整備:誰が、何を、どこまで見られるかを明文化する
中小企業でよく見られる問題のひとつが、「誰が閲覧できるかルールが決まっていない」ことです。専任担当者がおらず、人事担当者が兼務で対応しているケースでは、情報の扱いが個人の判断に委ねられがちです。これを防ぐためには、実施規程の文書化が最初の一歩です。
実施規程で明記すべき項目
- 取り扱い者の範囲と役割:実施者(医師・保健師等)、実施事務従事者(作業を補助する人事担当者等)、産業医など、それぞれが何の情報にアクセスできるかを明記する
- アクセス権限のレベル:「閲覧のみ可」「集計・分析可」「第三者提供の可否」など、権限を階層化して設定する
- 保存場所・保存方法・廃棄手順:電子データであればアクセスログの記録と定期確認、紙媒体であれば施錠できるキャビネットへの保管を規定する。廃棄時は電子データの完全消去、紙媒体はシュレッダー処理または専門業者への委託(処理証明書の受領)を徹底する
- インシデント発生時の対応手順:情報漏えいが発生した場合に誰が何をするかの手順書を事前に作成しておく
電子データでストレスチェック結果を管理している場合、ID・パスワードの個人管理を徹底し、複数人での共有アカウントは禁止することが基本です。クラウドサービスを利用する場合は、ISO27001(情報セキュリティマネジメントの国際規格)の取得状況など、委託先のセキュリティ水準をあらかじめ確認してください。
従業員の信頼を得るための事前説明と同意取得の実務
受検率が上がらない原因の多くは、「会社に結果が筒抜けになるのではないか」「人事評価に使われるのではないか」という従業員の不安にあります。この不安を解消するためには、実施前の丁寧な説明と記録が不可欠です。
従業員への事前説明で伝えるべき内容
- 個人の結果は本人の同意なしに会社(事業者)へ提供されないこと
- 集団分析(部署単位での集計)の結果は職場環境の改善目的にのみ使用されること
- 面接指導を申し出ても、そのことを理由とした不利益取扱いは法律で禁止されていること
- ストレスチェック結果が人事評価に使用されることは一切ないこと
説明は口頭だけではなく、書面・社内イントラネット・説明会資料などの形で記録を残すことが重要です。口頭のみでは「言った・言わない」のトラブルになりかねません。
同意書の設計における注意点
面接指導を申し出た従業員の情報を事業者側に提供する場合、本人の同意を書面で取得することが厚生労働省指針で推奨されています。同意書を設計する際には、同意の任意性の確保が特に重要です。「同意しなくても不利益を受けない」旨を明記し、従業員が自発的に判断できる環境を整えてください。同意を事実上強制するような文面や運用は、法の趣旨に反します。
なお、従業員のメンタルヘルス相談窓口としてメンタルカウンセリング(EAP)を導入することで、ストレスチェックとは独立した相談チャネルを設けることができます。会社に知られないかたちで専門家に相談できる環境があると、従業員の安心感につながり、ストレスチェックへの信頼向上にも寄与することがあります。
高ストレス者情報と集団分析結果の取り扱い:特に迷いやすいケース
実務担当者から最も多く寄せられる疑問のひとつが、「高ストレス者の情報を上司や経営者に伝えてよいのか」という問題です。結論から言えば、本人の同意なしに個人の結果を事業者(上司・経営者を含む)に伝えることは原則として禁止されています。
ただし、面接指導の申し出があった場合は別の話です。本人が面接指導を申し出た場合、事業者は面接指導を実施する義務を負い、産業医等との情報連携が生じます。この場合も、どの情報を誰に共有するかを事前に本人へ説明し、同意を得たうえで進めることが基本姿勢です。
集団分析の開示範囲に関するルール
集団分析(部署・チーム単位でのストレス傾向の集計)は個人を特定しない分析として活用できますが、ここにも注意すべきルールがあります。10人未満の集団への分析結果の提供は、原則として禁止されています(労働安全衛生規則)。少人数の集団では、集計値から個人が特定されてしまうリスクがあるためです。
10人以上の集団であっても、特定の設問で突出した数値が出ている場合は個人が推測される可能性があります。その際は数値をレンジ(範囲)で表示する、特定の設問の結果を省くなどの工夫が有効です。また、管理職や人事部門が集団分析結果を閲覧する目的は職場環境の改善に限定されるべきであり、特定の従業員を推測・特定する用途に使ってはなりません。
外部委託先・産業医との情報連携における実務対応
外部のストレスチェック実施機関やクラウドサービス、EAP(Employee Assistance Program:従業員支援プログラム)を利用している場合、委託先との情報共有の範囲と管理水準の確認が欠かせません。
委託契約書に盛り込むべき事項
- 目的外利用の禁止:委託した業務の目的以外にデータを利用しないことの明記
- 再委託の制限と承認手続き:委託先がさらに別の業者に業務を委託(再委託)する場合、事前に承認を得ることを定める
- セキュリティ事故発生時の報告義務:情報漏えい等のインシデントが発生した際に速やかに報告するよう明記
- 監査・立入検査権の設定:必要に応じて委託先の管理状況を確認できる権限を確保する
また、委託先のセキュリティ管理水準については、契約締結時だけでなく年1回程度の定期的な確認を行うことが望ましいです。ISO27001の認証取得状況、セキュリティポリシーの整備状況、過去のインシデント履歴などを確認するチェックリストを作成しておくと、担当者が変わっても継続的に対応できます。
産業医との情報連携における取り決め
産業医はストレスチェックの実施者または面接指導の実施者として重要な役割を担います。産業医には守秘義務がありますが、事業者側の産業医としての役割(職場環境改善への助言等)と、実施者としての守秘義務の範囲は区別して理解しておく必要があります。どの情報を産業医に共有し、産業医から事業者にフィードバックされる情報の範囲をどうするか、事前に取り決めを文書化しておきましょう。
産業医の選任や体制整備について不安がある場合は、産業医サービスの活用も一つの選択肢です。専門的な知見を持つ産業医と連携することで、情報管理の方針策定から面接指導の実施まで、制度全体の運用品質を高めることができます。
実践ポイント:明日から着手できる情報保護の優先対応リスト
体制整備には時間がかかりますが、まずリスクの高い部分から着手することが現実的です。以下の優先対応リストを参考に、自社の現状をチェックしてみてください。
- 【最優先】取り扱い者の範囲と権限を文書化する:誰が何の情報にアクセスできるかを明記した内規を作成し、関係者に周知する
- 【最優先】従業員への事前説明資料を整備する:結果の取り扱い・不利益取扱いの禁止・相談窓口を明示した資料を書面で配布・掲示する
- 【優先】電子データのアクセス権限を個人単位に設定し、共有アカウントを廃止する:アクセスログの記録・定期確認の仕組みも同時に導入する
- 【優先】集団分析の開示ルールを明確にする:10人未満集団への非開示、10人以上でも個人特定リスクへの配慮を内規に盛り込む
- 【推奨】委託先との契約内容を見直す:目的外利用の禁止・再委託制限・インシデント報告義務が契約書に盛り込まれているか確認する
- 【推奨】インシデント対応手順を文書化する:情報漏えいが発生した際に誰が何をするかのフロー図を作成し、担当者に周知する
- 【推奨】5年間保存のルールと廃棄手順を定める:いつ・どの方法で廃棄するかを規定し、実施記録を残す
まとめ
ストレスチェック結果の個人情報保護と秘密保持は、法律の遵守という側面だけでなく、従業員との信頼関係を構築するための基盤でもあります。「会社に知られない」「不利益を受けない」という安心感がなければ、従業員は正直に回答せず、制度本来の目的である職場環境の改善にもつながりません。
実務対応の核心は、「誰が何の情報に触れられるかを明文化し、全員に周知する」という一点に集約されます。完璧な体制を一度に構築しようとするのではなく、取り扱い者の範囲の文書化・従業員への説明資料の整備・電子データの権限設定といった優先度の高い項目から順に着手し、継続的に改善していくことが現実的なアプローチです。
制度の適切な運用には、産業保健の専門家や信頼できる外部機関との連携も有効です。体制整備に不安を感じる場合は、専門家への相談を積極的に活用してください。
よくある質問(FAQ)
ストレスチェックの結果を上司に報告してよいですか?
本人の同意なしに、個人のストレスチェック結果を上司や経営者に報告することは、労働安全衛生法および個人情報保護法上、原則として禁止されています。ただし、高ストレス者本人が面接指導を申し出た場合は、事業者が産業医等と連携して対応することになりますが、その際も本人へ事前に情報共有の範囲を説明し、同意を得たうえで進めることが基本です。上司への情報提供は、本人が同意した範囲内にとどめてください。
集団分析の結果は全部署に公開してよいですか?
10人未満の集団(部署・チーム等)への分析結果の提供は、個人が特定されるリスクがあるため、労働安全衛生規則上、原則として禁止されています。10人以上の集団であっても、特定の設問で際立った数値が出ている場合は、数値をレンジで表示するなど個人特定を防ぐ工夫が必要です。また、集団分析結果の共有目的は職場環境の改善に限定し、特定の従業員を推測・特定する用途に使用してはなりません。
ストレスチェックの結果はいつまで保存する必要がありますか?
ストレスチェックの結果は、法令上5年間の保存が義務付けられています。保存期間が経過した後は、電子データであれば完全消去、紙媒体であればシュレッダー処理または専門業者への委託(処理証明書の受領)など、適切な方法で廃棄してください。廃棄の日時・方法・担当者を記録として残しておくことが望ましいです。
外部のクラウドサービスでストレスチェックを実施する場合、何を確認すればよいですか?
外部サービスを利用する場合は、委託契約書に目的外利用の禁止・再委託の制限・インシデント発生時の報告義務・監査権の設定が盛り込まれているかを確認してください。また、委託先のセキュリティ管理水準として、ISO27001(情報セキュリティマネジメントの国際規格)の取得状況やセキュリティポリシーの整備状況を確認することをお勧めします。契約締結時だけでなく、年1回程度の定期的な確認も行いましょう。
