2022年に全面施行された改正個人情報保護法は、企業における健康情報の取り扱いに大きな影響を与えています。特に「要配慮個人情報」に関する規制が強化され、違反した場合の罰則も法人で最大1億円に引き上げられました。しかし、多くの中小企業では「何が要配慮個人情報に当たるのか」「どこまで管理してよいのか」といった基本的な判断すら曖昧なままになっているのが現状です。
健康診断の結果、メンタル不調に関する情報、障害の有無——これらは従業員にとって極めてセンシティブな情報です。適切な管理体制を整えることは、法令遵守だけでなく、従業員との信頼関係を守るうえでも不可欠です。本記事では、中小企業の経営者・人事担当者が今すぐ確認すべき健康情報の取り扱いルールを、実務に即して解説します。
健康情報はなぜ「要配慮個人情報」なのか
個人情報保護法第2条第3項では、「要配慮個人情報」として特に慎重な取り扱いが求められる情報が列挙されています。健康に関するものとしては、以下が該当します。
- 病歴(過去・現在を問わず)
- 健康診断の結果
- 医師による指導・診断の内容
- 障害(身体・知的・精神)の有無や程度
要配慮個人情報は、通常の個人情報と比べて取り扱いが厳格に制限されています。最も重要な違いは、取得に際して原則として本人の明示的な同意が必要という点です。通常の個人情報では「利用目的を通知した上で取得すれば足りる」ケースがありますが、要配慮個人情報はそれだけでは不十分です。
また、通常の個人情報では一定の条件下で認められる「オプトアウト(本人が事前に拒否しなければ第三者提供が可能な仕組み)」による第三者提供も、要配慮個人情報では一切認められていません。
多くの中小企業で見落とされがちなのが、メンタルヘルスに関する情報です。従業員が「職場の相談窓口に話した内容」や「産業医との面談記録」も、病歴・医師の診断に関連する情報として要配慮個人情報に該当する可能性があります。人事担当者が気軽に閲覧・共有できる情報ではないことを、改めて認識する必要があります。
同意取得の「落とし穴」——形式的な同意では不十分
「入社時に同意書を取っているから問題ない」と考えている企業は少なくありません。しかし、その同意書が法的に有効な同意として認められるかどうかは、内容と取得方法によって大きく異なります。
有効な同意の3つの要件
- 利用目的が具体的に特定されていること:「人事管理のため」という記述だけでは不十分です。「健康診断の結果を産業医に提供し、就業上の配慮を検討するため」といった具体的な記載が求められます(個人情報保護法第17条)。
- 強制性がないこと:雇用関係には使用者と労働者の力関係があるため、「同意しないと不利益を受ける」と従業員が感じるような状況での同意は、有効性が疑われる場合があります。
- 内容を十分に説明した上で取得していること:何の情報を、誰に、どのような目的で提供するかを明確に説明した上での同意でなければなりません。
入社時の一括同意だけに頼らず、産業医との情報共有や外部EAPへの委託など、情報の流れが変わる場面ごとに改めて同意を取得・確認する仕組みを設けることが望ましいといえます。
産業医・外部機関との情報共有——どこまで許されるか
健康情報の取り扱いで企業が最も判断に迷うのが、産業医や外部の相談機関との情報共有です。ここには個人情報保護法だけでなく、労働安全衛生法(安衛法)も関係してくるため、両方の観点から整理することが重要です。
産業医への情報提供
安衛法では、健康診断の結果を産業医に提供することが法的に根拠づけられています。そのため、安全配慮義務(従業員の健康と安全を守る使用者の義務)の範囲内であれば、本人の個別同意がなくとも産業医に健康情報を提供することが認められる場合があります。
ただし、産業医に提供された情報が、そのまま人事部門に伝わる流れは原則として認められていません。産業医が「就業制限が必要」「配慮が必要」といった意見を人事部門に伝える場合も、具体的な病名や診断内容を含む詳細な情報は共有せず、就業上の措置の判断に必要な範囲に限定することが求められます。
外部EAP(従業員支援プログラム)への委託
近年、メンタルヘルス対策として外部のメンタルカウンセリング(EAP)を導入する企業が増えています。従業員が外部機関のカウンセラーに相談する際、その情報は個人情報保護法上の「委託」に関する規定が適用されます。
具体的には以下の対応が必要です。
- 委託契約書に取り扱う情報の範囲・目的・管理方法・再委託の可否を明記する
- 委託先のセキュリティ水準を事前に確認し、委託先への監督義務を果たす
- 従業員に対して「EAPを利用した場合の情報の取り扱い」を事前に説明する
EAP利用中に取得した相談内容を、会社側が「人事評価の参考資料」として利用することは、利用目的外の利用として違法となる可能性が高いです。この点は特に注意が必要です。
漏洩が起きたときの報告義務——3〜5日という厳しい期限
2022年の改正個人情報保護法で新設されたのが、個人情報漏洩時の報告・通知義務(法第26条)です。従来は努力義務にとどまっていたものが、要件を満たす場合には法的義務となりました。
健康情報のような要配慮個人情報が含まれる漏洩の場合、漏洩の可能性が判明した時点から速報は3〜5日以内に個人情報保護委員会への報告が必要です。また、確報(詳細な報告)は30日以内に行わなければなりません。さらに、漏洩した情報の本人(従業員)への通知も義務となります。
多くの中小企業では「漏洩が起きたかどうか判断してから考えよう」という姿勢になりがちです。しかし、この報告期限の短さを考えると、インシデント発生前に初動対応マニュアルを整備しておくことが不可欠です。少なくとも以下の点を事前に決めておく必要があります。
- インシデント発生時の社内報告ルート(誰が最初に誰に報告するか)
- 個人情報保護委員会への報告窓口と様式の確認
- 被害の封じ込め手順(アクセス遮断・書類回収など)
- 本人(従業員)への通知方法
なお、報告義務の対象となるかどうかの判断に迷っている間にも期限は進みます。「要配慮個人情報が含まれているならまず報告」という原則を社内に浸透させておくことが重要です。
今すぐ整備すべき管理体制——実践ポイント
ここまでの内容を踏まえ、中小企業が今すぐ着手すべき実践的な対応ポイントを整理します。特に専任担当者がいない中小企業では、人事と総務が兼任で対応するケースが多いため、優先順位をつけて取り組むことが現実的です。
①健康情報取扱規程の整備
就業規則の附属規程として「健康情報取扱規程」を単独で整備することを厚生労働省のガイドラインは推奨しています。規程には以下を盛り込みます。
- 取り扱う健康情報の種類と利用目的の具体的な記載
- 情報にアクセスできる者の範囲(産業医・保健師・人事担当者等に限定)
- 管理責任者の選任と役割
- 第三者への提供に関するルール
- 漏洩時の対応手順
②アクセス権限の明確化と保管方法の見直し
紙書類・Excel・クラウドサービスが混在している企業では、まず現状の棚卸しから始めます。
- 紙の書類は施錠できるキャビネットで保管し、閲覧簿を設ける
- 電子データはアクセスログが記録されるシステムで管理する
- クラウドサービスを使用する場合は、委託先のセキュリティ基準を確認し、契約書に情報管理の義務を明記する
- テレワーク時は私用端末での健康情報の送受信を禁止するなど、リモート環境でのルールを別途設ける
③従業員への開示請求対応フローの準備
改正法により、電磁的記録(データ)による開示請求が可能になりました。「自分の健康情報を見せてほしい」という従業員からの問い合わせに慌てないよう、以下を準備しておきます。
- 開示請求の受付窓口・担当者の明確化
- 対応期限(開示請求から原則遅滞なく)と回答様式の準備
- 開示できない情報(第三者の情報が含まれる場合など)の判断基準
なお、健康診断の結果は労働安全衛生法上5年間の保存義務があるため、従業員から「削除してほしい」という請求があっても、保存義務期間中は削除を拒否できる場合があります。この点を社内で共有しておくことが重要です。
④産業医との連携体制の見直し
50人以上の事業場では産業医の選任が義務となっています。産業医サービスを活用している企業では、産業医との情報共有の手順を改めて確認することをお勧めします。特に「産業医から人事部門への情報提供ルール」を文書化し、産業医・人事双方が共通認識を持てるよう整備することが重要です。
まとめ
個人情報保護法の改正により、健康情報の取り扱いに関する企業の責任は以前にも増して重くなっています。特に中小企業では、専任担当者がいない中で法令対応を進めなければならない難しさがありますが、「知らなかった」では済まされないのが法令遵守の世界です。
今回解説した内容を整理すると、まず優先すべきは以下の3点です。
- 健康情報取扱規程の整備と、同意書の内容・取得方法の見直し
- 漏洩インシデント対応マニュアルの作成(報告期限の短さを念頭に)
- 産業医・外部EAPとの情報共有ルールの文書化
法令対応は一度整備すれば終わりではありません。改正のたびに社内ルールを見直し、現場の実態に合った運用を継続することが、従業員との信頼関係を築く基盤となります。不明な点は産業医や社会保険労務士などの専門家に相談しながら、着実に体制を整えていきましょう。
よくある質問(FAQ)
Q1. 健康診断の結果を人事部門が確認することは問題ありませんか?
健康診断の結果は要配慮個人情報に該当するため、人事部門が閲覧できる範囲は原則として「就業上の配慮が必要かどうかの判断に必要な情報」に限られます。具体的な検査数値や病名などを人事担当者全員が閲覧できる状態にしておくことは、厚生労働省のガイドラインに照らして適切とはいえません。産業医・保健師が内容を確認した上で「就業制限の要否」など必要な意見のみを人事部門に伝える仕組みが望ましいとされています。
Q2. 小規模事業者(従業員50人未満)でも個人情報保護法の規制は適用されますか?
はい、適用されます。2015年の改正以降、個人情報保護法は事業者の規模にかかわらずすべての個人情報取扱事業者に適用されています(かつて適用除外だった「5,000件以下」の事業者規模要件は撤廃されました)。産業医の選任義務(50人以上)がない小規模事業場であっても、従業員の健康情報を保有している以上、要配慮個人情報としての適切な管理が求められます。
Q3. メンタルヘルスの相談内容は要配慮個人情報になりますか?
相談内容に病名・診断・医師の指導などが含まれる場合、要配慮個人情報に該当する可能性があります。産業医や外部EAPのカウンセラーに従業員が相談した内容は、本人の同意なしに人事部門へ提供することは原則として認められません。また、メンタルヘルス情報は特にセンシティブな情報であるため、「知る必要のある者のみに限定する」という原則を厳守することが重要です。
