従業員のメンタルヘルス対策として、EAP(Employee Assistance Program=従業員支援プログラム)を導入する企業が増えています。しかし、「カウンセリングの記録はどこまで管理すべきか」「会社側はどこまで情報を把握してよいのか」といった疑問を抱えたまま、制度を運用している担当者は少なくありません。
特に中小企業では、専任の産業医や産業カウンセラーが不在のケースも多く、記録管理が属人化したり、外部のEAP事業者に丸投げになっていたりするケースが見受けられます。セッション記録の扱いを誤ると、従業員の信頼を損なうだけでなく、個人情報保護法違反などの法的リスクにもつながります。
この記事では、EAPにおけるセッション記録の管理方法について、法律上のルールから実務的な対応策まで、経営者・人事担当者の方に向けてわかりやすく解説します。
EAPのセッション記録が「要配慮個人情報」にあたる理由
まず押さえておきたいのは、EAPで扱われる情報の法的な位置づけです。カウンセリングの面談記録や相談内容は、個人情報保護法上の「要配慮個人情報」に該当します。要配慮個人情報とは、本人に対する不当な差別や偏見が生じないよう、特に慎重な取り扱いが求められる情報のことで、健康診断の結果や病歴などのほか、精神的な健康状態に関する情報も含まれます。
要配慮個人情報を取得・利用・第三者に提供するには、原則として本人の明示的な同意が必要です。また、情報漏洩が発生した場合には、個人情報保護委員会への報告と本人への通知が義務付けられており(2022年の個人情報保護法改正により強化)、企業側の責任は以前にも増して重くなっています。
さらに、EAPにカウンセラーや産業医が関与する場合は、守秘義務が別途適用されます。公認心理師法や医師法の倫理規定により、カウンセラー・産業医は本人の同意なく、その面談内容を会社(使用者)に提供することは原則として禁じられています。例外として認められるのは、自傷他害のおそれがある緊急性の高いケースなど、限定的な場面に限られます。
つまり、「会社がEAPの費用を負担しているから記録を閲覧できる」という考え方は法律上誤りです。費用の負担者と情報の所有者は別であり、セッション記録は従業員本人の情報として厳格に保護される必要があります。
記録の「種類」と「管理主体」を整理する
EAPに関連する記録は、一括りに扱うのではなく、種類ごとに管理主体と開示範囲を明確に区分することが重要です。以下の4つの区分を基本として整理するとよいでしょう。
- セッション内容(面談記録):EAP提供機関またはカウンセラーが管理。本人の同意なく会社への開示は原則不可
- 利用状況データ(件数・利用率など):EAP提供機関が管理。個人が特定されない匿名・集計データの形でのみ会社への報告が可能
- 就労配慮に関する意見書:産業医や産業保健スタッフが管理。業務上の配慮に必要な最低限の情報のみを人事担当者に共有
- 休職・復職に関する記録:人事部門が管理。人事管理目的の範囲内で取り扱う
この区分を明確にしないまま運用していると、人事担当者がカウンセリングの詳細内容を把握しようとするケースや、逆に必要な就労配慮情報まで共有されない状況が生じることがあります。どの情報を誰が持つのかを社内ルールとして文書化することが、適切な管理の第一歩です。
なお、メンタルカウンセリング(EAP)を外部事業者に委託している場合でも、社内での情報管理ルールの整備は会社側の責任として求められます。「外部に任せているから社内では管理不要」という考えは、個人情報保護法上の安全管理措置義務を満たしていない可能性があります。
EAP契約時に確認・盛り込むべき記録管理の条項
EAPを外部事業者に委託する際は、契約書の内容が記録管理の質を大きく左右します。特に以下の項目については、契約締結前に必ず確認・合意しておくことをお勧めします。
- 記録の保存期間・保存場所・廃棄方法の明記:セッション記録をいつまで、どのような形で保存し、期限到達後にどのように廃棄するかを具体的に定める。一般的な目安としては最終利用から5年程度とされますが、法定の保存義務がある文書と混同しないよう注意が必要です
- 個人が特定できるデータの会社への不提供の担保:契約書上で明示的に定めることで、万が一のトラブル時の証拠にもなります
- セキュリティ基準の明示:データの暗号化、アクセス権限の設定、セキュリティ認証の有無(ISMSなど)を確認する
- 漏洩時の通知義務と損害賠償規定:個人情報保護法上の報告義務に対応するため、事業者からの速やかな通知を義務付ける条項を盛り込む
- 再委託先(サブプロセッサー)の管理責任の明確化:EAP事業者がカウンセラーの派遣や別のシステム会社を使っている場合、その先での情報管理責任も確認する
これらを契約書に盛り込まずに運用を開始してしまうと、問題が発生した際に責任の所在が曖昧になります。中小企業では外部事業者の提示する標準契約書をそのまま受け入れてしまうことがありますが、上記の観点から必要に応じて条項の追加や修正を求めることが重要です。
社内で整備すべき情報管理ルールの具体的な内容
EAP関連の記録を社内で適切に管理するためには、以下のようなルールを整備し、文書化しておく必要があります。
アクセス権限の限定
健康情報にアクセスできる社内の担当者を、産業保健スタッフや特定の人事担当者に限定します。上長や直属のマネージャーが個別のセッション内容に触れることがないよう、アクセス制御を明確にしておくことが求められます。
物理的・電子的なセキュリティ対策
紙の書類は施錠できるキャビネットで管理し、電子データはパスワード保護と暗号化を施します。アクセスログを取得し、定期的な監査を行う体制が望ましいとされています。中小企業でコストをかけられない場合でも、最低限の施錠管理とパスワード管理は実施してください。
担当者異動時の引き継ぎルールの文書化
人事担当者が交代した際に、記録の所在や管理方法が引き継がれないケースが特に中小企業では多く見られます。「誰が、何を、どのように管理しているか」を文書化しておくことで、属人化を防ぎます。
就業規則・プライバシーポリシーへの明記
厚生労働省の「雇用管理分野における個人情報保護に関するガイドライン」では、健康情報の取り扱いルールを就業規則等に明記することを推奨しています。EAP利用時の情報管理方針についても、社内規程に盛り込んでおくことが望ましいでしょう。
従業員の不安を解消し、利用率を高めるための情報開示
「カウンセリングの内容が会社に伝わるのではないか」という従業員の不安は、EAPの利用率を著しく下げる要因になります。この懸念を解消するには、「何が会社に伝わり、何が伝わらないか」を制度として明確に示すことが効果的です。
具体的には、EAPの利用案内に守秘義務の範囲を明記し、利用開始時に同意書を取得する際にわかりやすく説明するという方法が挙げられます。「利用件数などの集計データは会社に報告されるが、個人の面談内容は会社には伝わらない」という点を明示することで、従業員が安心して利用できる環境が整います。
一方で、例外的に情報共有が行われる緊急時のプロトコルについても事前に策定し、従業員に周知しておくことが倫理的にも法的にも重要です。自殺リスクや重大な自傷他害のおそれがある場合に、誰が誰にどのような情報をどのルートで伝えるかを、EAP事業者と会社側で事前に文書化しておく必要があります。この緊急時対応の仕組みも含めて従業員に説明しておくことで、信頼関係を損なわずに適切な安全確保が可能になります。
実践ポイントまとめ
ここまでの内容を踏まえ、中小企業の経営者・人事担当者が今すぐ取り組める実践的なポイントを整理します。
- 記録の種類ごとに管理主体と開示範囲を文書化する:セッション内容・集計データ・就労配慮意見書・人事記録の4種類をそれぞれ区分して管理する
- EAP契約書を見直す:保存期間、廃棄方法、セキュリティ基準、漏洩時の通知義務などが盛り込まれているかを確認し、不足があれば事業者に改定を求める
- 社内のアクセス権限を限定し、文書化する:健康情報へのアクセスは必要最小限の担当者に限定し、担当者交代時の引き継ぎルールも整備する
- 従業員への情報開示を徹底する:何が会社に伝わり何が伝わらないかを明示し、利用促進と信頼確保を両立する
- 緊急時プロトコルを事前に策定・周知する:EAP事業者と合意の上、緊急時の情報共有フローを文書化し従業員にも説明しておく
EAPにおけるセッション記録の管理は、単なるコンプライアンス対応にとどまらず、従業員が安心してメンタルヘルス支援を利用できる環境を整えるための基盤でもあります。記録管理のルールを整備することで、EAPの実効性そのものを高めることができます。
EAPの運用体制について専門家のサポートが必要な場合は、メンタルカウンセリング(EAP)の活用をご検討ください。また、産業医との連携による健康情報管理の強化については、産業医サービスもあわせてご参照ください。
まとめ
EAPのセッション記録は、個人情報保護法上の「要配慮個人情報」として厳格な管理が求められます。会社が費用を負担していても、カウンセリングの詳細内容を閲覧する権限はなく、受け取れるのは匿名化・集計化されたデータのみです。記録の種類ごとに管理主体と開示範囲を明確にし、EAP契約書に必要な条項を盛り込み、社内のアクセス管理ルールを整備することが、適切な運用の基本となります。
従業員が「内容が会社に漏れるかもしれない」と不安を感じる限り、EAPは機能しません。管理ルールの透明性を高めることが、利用率の向上と従業員の信頼獲得につながります。今一度、自社のEAP運用体制を見直してみることをお勧めします。
EAPのカウンセリング記録は会社側が確認できますか?
原則として、会社側がカウンセリングの面談記録を確認することはできません。セッション記録は本人の要配慮個人情報に該当し、本人の明示的な同意なく会社(使用者)に開示することは個人情報保護法およびカウンセラーの守秘義務により禁じられています。会社が受け取ることができるのは、個人が特定されない形での利用件数や利用率などの集計データに限られます。
EAPの記録はどのくらいの期間保存するのが適切ですか?
法律上、EAPのセッション記録に特定の保存義務期間が定められているわけではありませんが、実務上は最終利用から5年程度を目安とする場合が多いとされています。ただし、保存期間は必要性・目的・セキュリティ負担などを踏まえてEAP事業者と合意の上で設定し、期限到達後は確実に廃棄する手順まで含めて契約書に明記しておくことが重要です。
中小企業でもEAPの記録管理体制を整えることはできますか?
はい、可能です。専任の産業医や産業カウンセラーがいない中小企業であっても、まず「記録の種類ごとに管理主体と開示範囲を文書化する」「アクセスできる担当者を限定する」「紙書類の施錠管理と電子データのパスワード保護を実施する」という基本的な対策から始めることができます。外部のEAP事業者と契約している場合は、契約書の内容を確認・見直すことも重要なステップです。
外部相談窓口・EAPの導入をご検討の企業様は、INTERMINDのEAPサービスをご覧ください。中小企業でも導入しやすいプランをご用意しています。
