EAP(Employee Assistance Program=従業員支援プログラム)を導入したものの、「利用者データをどこまで活用してよいのか」「従業員のプライバシーを侵害していないか」という不安を抱えている経営者・人事担当者は少なくありません。コストをかけてEAPを導入したからには組織改善に役立てたい。しかし、従業員の相談記録や健康情報に不用意に触れれば、法的リスクや信頼失墜につながりかねない。この「活用」と「保護」の板挟みは、中小企業における産業保健実務の中でも特に難しい課題のひとつです。
本記事では、個人情報保護法や労働安全衛生法といった関連法令の要点を整理したうえで、EAPデータを適切に管理しながら組織改善にも活かすための実務的な考え方をご説明します。法令対応に不安を感じている担当者の方にも、具体的な手順のイメージをつかんでいただけるよう構成しました。
EAPデータは「要配慮個人情報」にあたる:法律上の位置づけを正しく理解する
まず前提として押さえておきたいのが、EAPの相談記録や健康情報が法律上どのように位置づけられているかです。
個人情報保護法では、心身の状態に関する情報は「要配慮個人情報」(第2条第3項)に該当します。要配慮個人情報とは、不当な差別や偏見が生じるおそれがあるとして、通常の個人情報よりも厳格な取り扱いが求められるカテゴリーです。具体的には、健康診断の結果、精神疾患の有無、EAPでの相談内容などが含まれます。
要配慮個人情報については、以下の点が特に重要です。
- 本人の明示的な同意なしに取得・第三者提供が原則禁止されています。黙示の同意や包括的な同意では足りず、目的を明確にしたうえでの明示的な同意が必要です。
- 漏洩が発生した場合には、個人情報保護委員会への報告義務および本人への通知義務が課せられています。
- 利用目的を超えた活用、たとえばEAP相談記録を人事評価に使用することは原則禁止です。
また、労働安全衛生法第104条においても、労働者の健康情報は「その健康の確保に必要な範囲」でのみ収集・使用・保存できると明記されており、不当な目的での使用が明示的に禁止されています。
これらの法律をふまえると、EAPデータの活用は「禁止」ではなく「目的と範囲の限定」が求められているということになります。適切な管理体制を整えたうえで、許容される範囲でのデータ活用を進めることが現実的な対応です。
EAPデータの「個人情報」と「集計情報」を明確に区別して管理する
EAPデータを安全かつ有効に活用するうえで最も重要な実務的視点は、「個人レベルの情報」と「集計・統計レベルの情報」を明確に切り分けて管理することです。
個人レベルの情報:アクセス権限を厳格に限定する
氏名・所属部署・相談内容・受診履歴などの個人を特定できる情報は、産業医・保健師などの専門職に限定してアクセスを許可するのが基本原則です。人事担当者であっても、業務上の必要性がない限りアクセスすべきではありません。
中小企業では専任の産業医や保健師を置けないケースも多いですが、そのような場合はEAPベンダーとの契約上で「個人識別情報は会社側に提供しない」旨を明確に規定することが有効です。実際、多くのEAPサービスでは、利用者の個人情報をカウンセラーと利用者の間にとどめる守秘義務の仕組みが設けられています。
アクセスログを記録・保管し、不正アクセスや情報持ち出しを検知できる体制を構築することも、要配慮個人情報を扱ううえでの安全管理措置として求められます。
集計レベルの情報:組織改善に積極的に活用する
一方、個人を特定できない形で集計・加工されたデータは、組織改善のツールとして積極的に活用することが可能です。たとえば以下のようなデータが該当します。
- 部署別のEAP利用率(相談件数の傾向)
- 相談カテゴリー別の件数(職場関係、家族問題、メンタルヘルス等)
- 月別・季節別の利用件数の推移
- ストレスチェックの集団分析結果(10人以上の集団が対象)
なお、ストレスチェック制度については労働安全衛生法第66条の10により、結果を本人の同意なく事業者に提供することは禁止されていますが、集団分析データは個人を特定しない範囲での活用が認められています。集計データを経営会議の資料として活用したり、特定部署での相談件数の増加をもとに職場環境の見直しを図ったりすることは、法的にも問題のない適正な活用方法です。
EAPベンダーとの契約整備:委託先管理義務を果たすための具体的なポイント
個人情報保護法第25条(委託先の監督)は、EAPベンダーへの業務委託を「個人データの処理委託」として位置づけ、委託先(ベンダー)に対して安全管理措置の遵守を監督する義務を事業者側に課しています。つまり、「ベンダーに任せているから大丈夫」という姿勢は法的に通用しません。
契約書または個人情報処理委託契約書には、少なくとも以下の事項を明記することが求められます。
- データの利用目的と範囲:EAPの相談支援目的以外への使用禁止を明記する
- 再委託先の取り扱い:再委託を行う場合の事前承認手続きと再委託先の開示義務を規定する
- 保存期間と廃棄方法:相談記録の保存期限を設定し、期限後の安全な廃棄方法を定める
- 漏洩時の報告義務:インシデント発生時の報告ルートと対応手順を契約上に位置づける
- セキュリティ監査:定期的な監査の実施と結果報告を義務づける
また、ベンダーを選定・評価する際には、ISMS認証(ISO27001)の取得状況や個人情報保護管理体制を事前に確認することが重要です。近年、EAPデータをAI分析やマーケティングに活用するベンダーも存在するため、自社のデータが目的外に利用されていないか、契約内容を精査する習慣をつけておくべきです。
中小企業においては、EAPのメンタルカウンセリング(EAP)サービスを選ぶ際に、個人情報保護体制の透明性が高く、守秘義務の範囲が明確なサービスを選択することが、リスク管理の第一歩となります。
従業員の利用率を高めるための情報開示と同意取得の設計
EAPの利用率が低迷する主な原因のひとつは、「相談内容が会社に筒抜けになるのではないか」という従業員の不安です。この不安が払拭されない限り、EAPはどれだけ整備しても活用されません。
厚生労働省の「労働者の心の健康の保持増進のための指針」(メンタルヘルス指針)においても、個人情報保護・プライバシー保護の徹底が事業者の責務として明記されており、情報の「必要最小限の収集」「目的外使用の禁止」「安全管理」が基本原則とされています。
実務上の対応としては、以下のポイントを参考にしてください。
EAP導入時・利用案内における明示事項
- 「会社は個人の相談内容にアクセスしない」ことを明文化し、従業員に書面で配布する
- EAPの利用がいかなる人事評価にも影響しないことを明示する
- 例外的に個人情報が会社に伝達される場合(自傷他害のおそれ等、緊急性が高い状況)の条件を事前に説明し、理解を得ておく
- 相談記録の保存期間・管理主体・廃棄方法を明らかにする
同意取得の形骸化を防ぐ
入社時の個人情報同意書に「健康情報を含む個人情報の取り扱いに同意する」と一括で記載するだけでは、要配慮個人情報に関する「明示的な同意」としては不十分と解釈されるリスクがあります。EAPデータの取り扱いについては、利用目的・管理体制・守秘義務の範囲を具体的に説明したうえで個別に同意を取得する形式が望ましいといえます。
なお、常時10人以上を使用する事業場については、2019年の厚生労働省ガイドラインにより「健康情報取扱規程」の策定が努力義務とされています。規程の中には、取扱担当者の限定・アクセス権限管理・保存期間の設定等を明記することが推奨されており、EAPデータの管理方針もこの規程に組み込むことで体系的な管理が可能になります。
万一の情報漏洩に備えたインシデント対応体制の構築
どれだけ万全な対策を講じても、情報漏洩のリスクをゼロにすることはできません。特に、テレワーク環境の普及により、EAPデータを含む健康情報がクラウド上で扱われる機会が増えており、セキュリティ上の新たなリスクが生まれています。個人情報保護法では、要配慮個人情報を含む漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務づけられています。報告は速報(概ね3〜5日以内を目安)と確報(30日以内)の二段階が求められていますので、対応フローをあらかじめ整備しておくことが重要です。
インシデント対応体制として最低限整備しておきたい内容は以下のとおりです。
- 漏洩発見時の報告ルートの明文化:誰が・誰に・どのタイミングで報告するかを社内規程に規定する
- 初動対応のチェックリスト:漏洩範囲の特定・アクセス遮断・証拠保全などの手順をリスト化しておく
- ベンダーとの連携手順の確認:EAPベンダー側での漏洩を想定し、報告タイムラインと連絡先を契約書に明記する
- テレワーク環境での対策:VPN利用の義務化・端末管理・画面上での個人情報表示制限など、リモート環境特有のリスクに対応する
また、インシデントが発生した場合の対外的な説明責任も重要です。従業員に対して誠実に状況を説明し、再発防止策を明示する姿勢が、長期的な信頼維持につながります。
実践ポイント:明日から取り組めるEAPデータ管理の優先順位
ここまでの内容を整理し、中小企業の担当者が優先的に取り組むべき実践ポイントをまとめます。
- 【優先度:高】EAPベンダーとの契約書を見直す:委託先管理義務を果たすために、データの利用目的・保存期間・漏洩時の対応・再委託の可否が明記されているか確認する。不足があれば覚書等で補完する。
- 【優先度:高】従業員向けの守秘義務説明資料を整備する:「会社は個人の相談内容を見ない」という原則を明文化し、EAP案内書や社内ポータルに掲載する。利用率向上にも直結する。
- 【優先度:中】集計データ活用のルールを社内で策定する:部署別データや利用傾向データをどの会議体で・誰が確認するかを決め、組織改善のサイクルに組み込む。
- 【優先度:中】健康情報取扱規程を策定・更新する:EAPデータの取り扱い方針を含む健康情報取扱規程を整備し、担当者とアクセス権限を明確にする。
- 【優先度:中】インシデント対応手順を文書化する:漏洩発覚時の対応フローを作成し、担当者に周知する。ベンダーとの連絡先も合わせて整理しておく。
- 【優先度:低~中】産業医との連携体制を検討する:集計データの読み解きや個人情報へのアクセス管理において、産業医サービスを活用することで専門的な助言と適正な情報管理の両立を図ることができる。
まとめ
EAPデータの活用と個人情報保護の両立は、「どちらかを犠牲にする」問題ではありません。法令の要求事項を正確に理解し、個人情報と集計情報を明確に区分したうえで管理体制を整えることで、従業員のプライバシーを守りながら組織改善に役立つデータ活用が実現します。
特に中小企業においては、専任の産業保健スタッフがいないことを理由に対応が後回しになりがちですが、要配慮個人情報を扱う以上、法的責任は企業規模に関係なく生じます。まずはEAPベンダーとの契約内容の確認と、従業員への適切な情報開示という二つの取り組みから着手することをおすすめします。
EAPと産業保健の仕組みを適切に連携させることで、従業員の安心感を高め、利用率の向上と組織全体のメンタルヘルス改善につなげることができます。データは「使い方次第で信頼になる」ということを、ぜひ実務の出発点としていただければと思います。
よくある質問(FAQ)
EAPの相談記録は必ず個人情報保護法の「要配慮個人情報」に該当しますか?
はい、EAPの相談記録は心身の状態に関する情報を含む場合、個人情報保護法第2条第3項が定める「要配慮個人情報」に該当すると解釈されます。そのため、本人の明示的な同意なしに取得・第三者提供を行うことは原則として禁止されており、漏洩が発生した場合には個人情報保護委員会への報告義務も生じます。EAPを導入している企業は、この前提に立って管理体制を整えることが必要です。
集計データであれば自由に社内共有してよいのでしょうか?
個人を特定できない形に集計・加工されたデータであれば、組織改善目的での社内共有は基本的に許容されます。ただし、小規模な部署での集計は実質的に個人が特定できてしまうリスクがあるため、ストレスチェックの集団分析と同様に「10人以上の集団」を目安とすることが実務上の安全策とされています。社内共有の範囲や会議体についても、事前にルールを文書化しておくことを推奨します。
EAPベンダーが変更された場合、既存の相談データはどうなりますか?
ベンダー変更時のデータ移管・廃棄の取り扱いは、当初の委託契約書に明記しておくことが理想的です。契約終了時にデータを安全に廃棄する義務・廃棄証明書の発行・移管が必要な場合の手続きを事前に規定していない場合、漏洩リスクや目的外利用のリスクが生じる可能性があります。ベンダー選定時点で契約書にこれらの条項を盛り込むよう交渉することが重要です。
外部相談窓口・EAPの導入をご検討の企業様は、INTERMINDのEAPサービスをご覧ください。中小企業でも導入しやすいプランをご用意しています。
