「うちの会社にもカウンセリングサービスを導入したい。でも、従業員が本当に使ってくれるだろうか……」
そんな悩みを抱える中小企業の経営者・人事担当者は少なくありません。厚生労働省の調査によれば、メンタルヘルス対策に取り組む事業所の割合は年々増加している一方で、従業員が相談サービスを利用しない最大の理由として「相談内容が職場に知られるかもしれない」という不安が繰り返し挙げられています。
中小企業では、社内の人間関係が密接なぶん、「相談内容が上司や経営者に筒抜けになるのでは」という疑念が生まれやすい環境です。せっかくメンタルカウンセリング(EAP)を導入しても、プライバシー保護の体制が整っていなければ、従業員は利用をためらいます。最悪の場合、情報漏洩や不利益な取り扱いによって法的問題に発展するリスクもあります。
本記事では、カウンセリング利用者のプライバシー保護に関わる法律の基本を整理したうえで、中小企業が今すぐ実践できる体制づくりのポイントをわかりやすく解説します。
カウンセリング情報はなぜ特別な保護が必要なのか
まず前提として、カウンセリングで扱う情報がどのような性質を持つのかを確認しておきましょう。
個人情報保護法は、心身の健康や医療に関する情報を「要配慮個人情報」と定めています。これは、取り扱いを誤ることで本人の権利や利益を著しく侵害するおそれがあるとして、一般の個人情報よりも厳格な管理が求められる特別なカテゴリです。カウンセリングの記録(相談内容・診断的印象・受診歴など)は、この要配慮個人情報に該当します。
要配慮個人情報を取得・利用・第三者に提供する場合は、原則として本人の明示的な同意が必要です。ここで注意していただきたいのが「第三者」の範囲です。個人情報保護法の解釈では、社内の他部署(人事部門・経営者など)も「第三者」に該当しうるとされています。つまり、「社内の情報だから社内で共有してよい」という考え方は法的に正確ではありません。
また、カウンセラー側にも強い守秘義務が課されています。公認心理師法第41条は守秘義務を明文化しており、違反した場合は1年以下の懲役または30万円以下の罰金という刑事罰の対象になります。産業医・保健師にも職業倫理上の守秘義務があり、労働安全衛生法の枠組みのなかで事業者への情報提供範囲が法令により制限されています。
さらに2022年の個人情報保護法改正により、情報漏洩が発生した場合の個人情報保護委員会への報告および本人への通知義務が強化されました。対応が遅れたり不適切だったりすると、法的責任のみならず企業の信頼失墜にもつながります。
中小企業に多い「プライバシー侵害」の落とし穴
法律の存在は知っていても、日常の運用のなかで意図せず侵害行為につながってしまうケースは珍しくありません。中小企業に特有のリスクを具体的に見ていきましょう。
「本人のため」という善意による情報共有
「部下が深刻な状況にあると聞いて、上司に知らせてあげた」――善意からの行動であっても、本人の同意なく相談内容を第三者に伝えることはプライバシーの侵害になります。民法709条の不法行為として損害賠償請求の対象になりうるうえ、本人の信頼を失い離職リスクが高まった事例も実際に報告されています。
カウンセリング利用者の人事活用
カウンセリングの利用履歴を「メンタル不調者リスト」のように管理し、昇進・異動の判断材料にすることは、労働安全衛生法が定める不利益取扱いの禁止規定に抵触する可能性があります。同法第66条の10はストレスチェック結果を不利益取扱いに使うことを明確に禁じており、カウンセリング利用情報についても同様の考え方が適用されます。
顔見知り環境ゆえの情報流出
中小企業では、社内カウンセラーや保健師が経営者・人事担当者と日常的に接する機会が多く、会話のなかで自然と情報が流れてしまうことがあります。明確なルールがないまま「なんとなく」で運用していると、気づかないうちに守秘義務違反の状態になっている場合があります。
緊急時の過剰な情報共有
自傷・他害リスクがある場合など緊急時には、例外的に情報を共有することが認められています。しかし、例外規定の適用は「必要最小限の情報を必要な関係者のみに開示する」ことが原則です。必要以上の詳細を複数の管理職に伝えることは、例外規定の範囲を超えた違反行為になりかねません。
今すぐ整備すべきプライバシー保護の5つの柱
では、中小企業として具体的にどのような体制を整えればよいのでしょうか。実務上重要な5つのポイントを解説します。
① 情報の「壁」を文書で設計する
カウンセラーと人事・経営者の間に明確な情報遮断ルール(情報ファイアウォール)を設けることが最初のステップです。「誰が・何を・誰に・どのタイミングで報告するか」をフローチャートで文書化し、関係者全員が共通認識を持てる状態にしましょう。
会社側への報告は、原則として個人を特定できない匿名の統計情報・傾向分析のみとすることを事前に合意しておくことが重要です。「今月の相談件数は○件、テーマ別傾向は○○」といった情報は共有できますが、「A社員が○○について相談した」という情報は共有してはなりません。
② 利用者へのインフォームドコンセントを徹底する
インフォームドコンセントとは、十分な説明を受けたうえで本人が納得して同意することを指します。カウンセリングを開始する前に、秘密保持の範囲と例外事項を書面で説明し、署名を得るプロセスを必ず設けてください。
説明すべき内容には以下が含まれます。
- 相談内容は原則として外部・社内他部署に開示しないこと
- 例外として、自傷・他害の重大なリスクがある場合、法令上の義務がある場合には開示することがあること
- 会社には匿名の統計情報のみ提供すること
- 記録の保存期間と廃棄方法
この説明を口頭のみで済ませることは避けてください。書面による説明と署名の記録が、後日トラブルが生じた際の重要な証拠になります。
③ 記録の管理・保存・廃棄を規程で明文化する
カウンセリング記録は要配慮個人情報として、適切な方法で保管しなければなりません。
- 紙の記録:施錠できるキャビネットで管理し、アクセス権を持つ者を限定する
- 電子記録:暗号化処理を施し、アクセスログを記録する。アクセス権は担当カウンセラーに限定する
- 廃棄方法:紙はシュレッダー処理、電子データは確実に消去できる方法を定める
- 保存期間:法的根拠と実務的必要性に基づいて規程に明記する
これらを社内規程として文書化しておくことで、担当者が変わっても一定の水準を維持できます。
④ 外部EAP利用時の契約管理を強化する
外部のEAP(従業員支援プログラム)を活用する場合は、委託先の情報管理体制を確認することが不可欠です。契約書に個人情報の取り扱い条項を必ず盛り込み、以下の点を事前に書面で確認しましょう。
- 企業側へのフィードバック内容・形式(匿名統計か個別情報かの区別)
- 委託先が取得した情報の利用目的と保存期間
- 再委託(さらなる外部委託)の有無とその管理体制
- 情報セキュリティ認証(ISO27001など)の取得状況
- 漏洩インシデントが発生した場合の報告・対応義務
「外部に任せているから大丈夫」という認識は危険です。個人情報保護法上、委託先の監督責任は委託元(企業)にもあります。
⑤ オンラインカウンセリングのセキュリティ対策を講じる
近年、ビデオ通話やチャットを活用したオンラインカウンセリングが普及しています。利便性は高い反面、デジタル環境特有のリスクへの対応が必要です。
- エンドツーエンド暗号化に対応したプラットフォームを選定する
- セッション録画の禁止・データの自動削除設定を確認する
- 利用者が自宅などから接続する場合のプライバシー確保(個室の確保など)を案内する
- チャット相談のログ保存・管理ルールを明確にする
従業員の信頼を高めるための社内周知
どれだけ優れた体制を整えても、従業員がそれを知らなければ利用率は上がりません。「相談内容は守られる」という信頼の担保を全社員に積極的に伝えることが、カウンセリングサービスを実質的に機能させる鍵です。
具体的には以下のような取り組みが有効です。
- 社内イントラネットや掲示板で、秘密保持の仕組みを図解入りでわかりやすく説明する
- 入社時のオリエンテーションや定期的な全体会議で説明の機会を設ける
- 管理職向けに「部下の相談内容を聞き出す行為は不適切であること」をリテラシー教育として実施する
- 経営者・人事担当者自身が「私たちは相談内容にアクセスしない」と明言する機会を設ける
特に管理職の理解は重要です。「部下が何を相談しているのか知りたい」という気持ちは自然なものですが、それがプライバシー侵害につながることへの理解なしには、制度の信頼性が損なわれます。
また、情報漏洩インシデントが発生した場合に備えて、初動対応のマニュアルを作成しておくことも重要です。個人情報保護委員会への報告義務(2022年改正で強化)、本人への通知のタイミング、社内の報告ラインなどを事前に整理しておくことで、万が一の際の対応が迅速かつ適切になります。
実践ポイントのまとめ:プライバシー保護チェックリスト
本記事の内容を踏まえ、体制整備の到達度を確認するためのチェックリストを示します。人事担当者がまず着手すべき項目として活用してください。
- 情報ファイアウォールの文書化:報告範囲・報告手順をフローチャートで明文化しているか
- インフォームドコンセントの書面化:初回面談前に書面で説明し署名を得ているか
- 記録管理規程の整備:保存方法・アクセス権・廃棄方法を規程に明記しているか
- 外部EAP契約の確認:個人情報取り扱い条項・フィードバック範囲を書面で確認しているか
- デジタル環境の安全確認:オンラインツールの暗号化・ログ管理を確認しているか
- 全社周知の実施:秘密保持の仕組みを従業員に説明する機会を設けているか
- 管理職リテラシー教育:相談内容への不当なアクセスを禁じる教育を実施しているか
- インシデント対応マニュアルの作成:漏洩時の初動手順を文書化しているか
まとめ
カウンセリング利用者のプライバシー保護は、単なるコンプライアンス上の義務にとどまりません。従業員が安心してサービスを利用できる環境をつくることで、メンタルヘルス対策が実質的に機能し、離職防止・生産性向上にもつながります。
中小企業だからこそ、人と人との距離が近い分、意識的に「情報の壁」を設計する必要があります。法律に基づいた適切な体制を整備し、それを従業員に明示することが、信頼される職場づくりの第一歩です。
体制整備の具体的な方法や外部サービスの活用については、産業医サービスの専門家に相談することで、自社の規模・業種に合ったアドバイスを得ることができます。法律の要件を満たしながら、従業員が本当に使いやすい相談環境を整えていきましょう。
よくある質問(FAQ)
Q. 社内カウンセラーから相談内容を聞くことは経営者として問題がありますか?
問題になる可能性があります。公認心理師など有資格者のカウンセラーには法律上の守秘義務があり、経営者であっても本人の同意なく相談内容を開示することは義務違反にあたります。また、経営者が相談内容を知ることで、人事評価や処遇に影響が及ぶと従業員が懸念し、制度への信頼が損なわれます。経営者へのフィードバックは、個人を特定できない統計情報・傾向分析に限定することを事前にルール化することが重要です。
Q. 外部EAPを使えばプライバシー保護は自動的に担保されますか?
外部EAPを導入するだけでは不十分です。個人情報保護法上、委託先の情報管理に関する監督責任は委託元の企業にもあります。EAP事業者が企業側に提供するフィードバックの内容・形式(個別情報か匿名統計か)、情報の保存期間、セキュリティ認証の有無などを契約書に明記し、事前に書面で確認することが必要です。「外部に任せているから問題ない」という認識は法的リスクにつながる場合があります。
Q. カウンセリング記録はどのくらいの期間保存すればよいですか?
カウンセリング記録の保存期間について、すべてのケースに適用される単一の法定期間があるわけではありません。ただし、一般的な実務では、最終相談日から5年程度を目安とすることが多いとされています。重要なのは、保存期間・保存方法・廃棄方法を社内規程に明文化し、規程に従って一貫して運用することです。保存期間の根拠と廃棄の記録を残しておくことで、万が一問題が生じた際にも対応しやすくなります。
