従業員の健康診断を毎年実施しているものの、その結果をどこに・どのように保管すべきか、明確なルールがないまま運用している企業は少なくありません。「とりあえず人事のフォルダに入れている」「紙のまま書棚に置いてある」——そうした状況が続いているとしたら、法令違反や情報漏洩のリスクを抱えている可能性があります。
健康診断結果は、単なる社内書類ではありません。個人情報保護法において「要配慮個人情報」に分類される、特に厳格な管理が求められる情報です。取り扱いを誤ると、従業員からの信頼を損ねるだけでなく、行政指導や損害賠償請求につながるリスクもあります。
本記事では、中小企業の経営者・人事担当者に向けて、健康診断結果の保管義務から個人情報としての管理方法、よくある誤解まで、実務に役立つ情報を詳しく解説します。適切な管理体制を構築するための第一歩として、ぜひ参考にしてください。
健康診断結果の保管は事業者の法的義務
まず前提として確認しておきたいのは、健康診断結果の保管は事業者に課せられた法律上の義務であるという点です。
労働安全衛生法第66条の3では、「事業者は、健康診断の結果を記録しておかなければならない」と明記されています。健診を外部の医療機関に委託している場合でも、その記録・保存の責任は事業者側に残ります。「健診機関が持っているから問題ない」という考えは誤りです。健診機関の保存は、事業者としての義務を代替するものではありません。
保存期間は健診の種類によって異なる
保存期間については、健康診断の種類によって大きく異なります。主なものを整理すると、以下のとおりです。
- 一般健康診断(定期健康診断など):5年間
- じん肺健康診断:7年間(じん肺の所見がある場合は更に長期の規定あり)
- 電離放射線健康診断:30年間
- 特定化学物質等に係る健康診断:30年間(一部は5年)
特殊健康診断(有害業務に従事する労働者に実施するもの)は、一般健診と比べて保存期間が大幅に長くなるケースがあります。自社の業務内容に応じて、どの種類の健診結果を何年保存しなければならないか、一覧表を作成して管理しておくことを強くおすすめします。
また、退職した従業員の健診結果についても、保存期間が満了するまでは保管義務が継続します。「退職したから処分していい」という判断は誤りであり、見落としやすいポイントです。
なお、電磁的記録(電子データ)での保存も認められています。ただし、一定の要件(見読性・完全性・機密性・検索性の確保)を満たす必要があります。
健康診断結果は「要配慮個人情報」として厳重に管理する
健康診断結果は、個人情報保護法において「要配慮個人情報」に位置づけられています。要配慮個人情報とは、不当な差別や偏見が生じる可能性があることから、特別な配慮が必要とされる情報のことです。身体的な状況・病歴・障害なども同様の扱いを受けます。
「うちは小規模だから関係ない」という誤解が中小企業ではよく見られますが、個人情報保護法は従業員数や業種にかかわらず、個人情報を取り扱うすべての事業者に適用されます。従業員が1人でもいれば、健診結果を保有している限り同法の対象です。
安全管理措置の4つの柱
個人情報保護法は、個人情報の安全管理措置として以下の4つを求めています。これらは健診結果の管理にもそのまま当てはまります。
- 組織的安全管理措置:管理担当者の明確化、取扱規程の整備、定期的な点検・監査
- 人的安全管理措置:従業員への教育・研修、守秘義務の徹底
- 物理的安全管理措置:施錠できるキャビネットへの保管、区域への入退室管理
- 技術的安全管理措置:アクセス権限の設定、ログの記録、不正アクセス対策
紙で保管している場合は、鍵のかかるキャビネットに収納し、鍵の管理者を特定することが基本です。電子データで管理している場合は、閲覧・編集できる人物をシステム上で個人単位に制限し、誰がいつアクセスしたかのログを記録することが求められます。
共有フォルダに誰でもアクセスできる状態で健診結果を保存することは、個人情報保護法違反および情報漏洩リスクに直結します。早急な見直しが必要です。
誰が健診結果を見られるのか?閲覧・開示のルール
健診結果の管理で最もトラブルが起きやすいのが、「誰に・どの範囲まで見せてよいか」というルールの不明確さです。厚生労働省のガイドラインでは、健康情報の取扱いは業務上必要な範囲に限定するという原則が示されています。
上司・管理職への開示は原則として行わない
「上司が部下の健康状態を把握するのは当然」と考える方もいますが、これは誤った理解です。上司・管理職は、原則として部下の健康診断結果を閲覧する立場にありません。
就業措置(業務内容の変更・就業制限など)が必要となった場合でも、上司に伝えるべきは「どのような就業上の配慮が必要か」という措置の内容のみです。具体的な検査数値や病名・診断内容を開示する必要はありません。
閲覧できる者は、基本的に人事担当者・産業医・保健師など、就業管理に直接関わる者に限定し、その範囲を社内規程として文書化しておくことが重要です。
従業員本人からの開示請求への対応
労働安全衛生法第66条の6では、事業者は健康診断の結果を労働者に通知する義務があります。従業員本人が「自分の結果を見せてほしい」と求めた場合は、速やかに対応することが必要です。実務上は概ね2週間以内を目安に対応することが望ましいとされています。
一方で、本人以外の第三者(たとえば家族、保険会社、他の行政機関など)への提供については、本人の同意または法令上の根拠がなければ原則として行えません。
産業医との情報共有について
産業医や保健師への健診結果の提供は、就業上の措置を検討する目的であれば認められています。ただし、その場合も必要最小限の情報のみを共有し、その都度記録を残しておくことが望ましい実務です。
産業医サービスを活用している企業では、産業医との情報連携の範囲・方法について事前に取り決めを行い、書面化しておくことで、情報管理の透明性を高めることができます。
クラウド・外部サービスを利用する場合の注意点
健診結果の電子化・クラウド管理を検討している企業も増えています。適切に運用すれば利便性が高まりますが、いくつかの点で注意が必要です。
委託先との契約を必ず書面で締結する
個人情報保護法第25条(委託先の監督)では、個人情報の取扱いを外部委託する場合、委託先の安全管理体制を確認・監督する義務が事業者に課せられています。クラウドサービスやSaaS(インターネット経由で利用するソフトウェア)を利用する場合も同様です。
具体的には、以下の点を契約・仕様確認で押さえておく必要があります。
- 個人情報の取扱いに関する秘密保持契約(NDA)または業務委託契約の締結
- サーバーの所在地(国外の場合は別途対応が必要になる場合あり)
- セキュリティ認証の有無(ISO/IEC 27001など)
- サービス終了時・契約解除時のデータ削除が確実に行われるかの確認
「有名なサービスだから安心」という判断だけで選定するのではなく、契約内容と運用実態を確認することが不可欠です。
廃棄・消去の管理も徹底する
保存期間が満了した健診結果は、適切な方法で廃棄・消去しなければなりません。紙の場合はクロスカット式シュレッダーの使用または専門業者への溶解処理委託が推奨されます。電子データの場合は、単純な「削除」操作では復元できる可能性があるため、専用の消去ソフトまたは物理的な破壊による対応が必要です。
廃棄・消去を行った際は、日時・方法・対象・担当者を記録として保存しておくことで、後から問題になった際の証跡にもなります。
実践ポイント:今日から始める管理体制の整備
法令要件と実務上の注意点を踏まえて、中小企業が取り組むべき具体的な実践ポイントをまとめます。人手や予算が限られる中でも、優先度の高いものから段階的に整備していくことが現実的なアプローチです。
- 保管担当者と閲覧権限者を文書で明確にする:「誰が管理するか」を規程や覚書として記録し、担当者以外は原則アクセスできない状態を作る
- 健診種類ごとの保存期間一覧を作成する:特殊健診を実施している場合は特に要注意。退職者分も含めて管理する
- 紙保管の場合は施錠管理を徹底する:鍵のかかるキャビネットに保管し、鍵の管理者・貸し出しルールを定める
- 電子管理の場合はアクセス権限を個人単位で設定する:共有フォルダへの無制限保存をやめ、ログ管理も導入する
- 上司・管理職への開示ルールを社内で周知する:誤解が生じやすいポイントなので、管理職研修などで繰り返し伝える
- 廃棄手順と記録の保存方法を決める:保存期間満了時に何をすべきか、手順を文書化しておく
- 外部サービスを使う場合は契約内容を必ず確認する:秘密保持契約・セキュリティ要件・データ削除の方法を事前に確認する
メンタルヘルス不調や長時間労働が懸念される従業員への対応では、健診結果の情報を適切に活用しながら、従業員本人の同意のもとで専門的なサポートにつなぐことが重要です。メンタルカウンセリング(EAP)などの外部相談窓口を整備することで、健康情報の管理と従業員支援を両立しやすくなります。
まとめ
健康診断結果の保管と個人情報管理は、労働安全衛生法と個人情報保護法という2つの法律が交差する実務課題です。「うちには関係ない」「今まで問題なかった」という認識のまま放置することは、法的リスクと従業員の信頼喪失につながります。
重要なポイントを改めて整理すると、以下のとおりです。
- 健診結果の保管は事業者の法的義務であり、健診機関への委託では代替できない
- 保存期間は健診の種類によって異なり、退職者分も期間満了まで保管が必要
- 健診結果は要配慮個人情報として、組織的・人的・物理的・技術的な安全管理措置が必要
- 閲覧できる者を明確に限定し、上司への開示は原則として行わない
- 外部サービスやクラウドを利用する場合は、委託先との契約と管理体制の確認が必要
完璧な体制を一度に構築しようとすると動けなくなりがちです。まずは「誰が管理するか」「どこに保管するか」を明文化することから始め、少しずつ管理の精度を上げていくことが現実的な取り組み方です。専門家(産業医・社会保険労務士など)のサポートも活用しながら、自社に合った体制を整えていきましょう。
よくある質問(FAQ)
健康診断結果の保存期間はどのくらいですか?
一般健康診断(定期健康診断など)は5年間の保存が義務づけられています。ただし、電離放射線健康診断や特定化学物質に係る健康診断など特殊健康診断については、種類によって30年など長期の保存が求められるものもあります。健診の種類ごとに保存期間が異なるため、一覧表を作成して管理することをおすすめします。また、退職した従業員の健診結果についても、保存期間が満了するまでは保管義務が継続します。
上司が部下の健康診断結果を確認しても問題ないですか?
原則として、上司・管理職が部下の健康診断結果を閲覧することは認められていません。就業上の配慮が必要な場合でも、上司には「どのような就業措置が必要か」という内容のみを伝え、具体的な検査数値や病名を開示する必要はありません。健診結果の閲覧権限は、人事担当者・産業医など就業管理に直接関わる者に限定し、その範囲を社内規程として文書化しておくことが重要です。
健康診断結果をクラウドで管理しても大丈夫ですか?
一定の要件を満たせば、健康診断結果を電子データ(クラウドを含む)で保存することは法律上認められています。ただし、クラウドサービスを利用する場合は、委託先との間で個人情報の取扱いに関する契約(秘密保持契約など)を締結し、サーバー所在地・セキュリティ認証(ISO/IEC 27001など)・データ削除の確実性を事前に確認することが必要です。個人情報保護法上、委託先の安全管理体制を確認・監督する義務は事業者側にあります。
