健康情報(要配慮個人情報)の保護

昨今、よりいっそう「個人情報の保護」の重要性が叫ばれるようになってきました。
このページでは、「要配慮個人情報」である従業員の健康情報を取り扱うにあたり、企業が注意すべきことについてご紹介します。

企業における健康情報(要配慮個人情報)の取り扱い

企業には、従業員の心身の状態を把握し、安全に労働できる環境を整える義務があります（安全配慮義務。労働契約法5条）。

そのために企業は従業者の健康情報を収集、把握する必要がありますが、収集した健康情報は慎重に取り扱わないと、健康情報が秘匿性の高い個人情報という性質上、流失等が発生すれば企業に責任が発生する危険が生じることになります。

以下、企業が従業員の健康情報を取り扱うときの決まりやポイントについて解説していきます。

個人情報保護法改正による要配慮個人情報の新設

令和２年に改正された個人情報保護法（令和４年４月１日施行。以下「個情法」）では、その２条３項において、「要配慮個人情報」に関する規定が置かれています。

要配慮個人情報とは

「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報を指します（個情法第２条第３項参照）。

企業において想定される要配慮個人情報としては、

• 労働安全衛生法（安衛法）に基づき企業が実施する健康診断の結果
• 健康診断実施後の措置の内容
• 保険指導や面接指導の内容
• 従業員から任意に提供された病歴や健康診断の結果
• その他健康に関する情報

等が挙げられます。

健康情報の定義とその取扱いについて

企業が実施する健康診断の結果や、従業員の健康確保のための活動を通じて得た様々な従業員の心身の状態に関する情報のうち、個情法２条３項に規定する「要配慮個人情報」に該当するものを「健康情報」と定義して、以下その取扱いについて説明します。

企業は従業員の健康情報を保護する義務がある

企業は、その安全配慮義務のために従業員の健康情報を収集する必要がありますが、それは究極の個人情報です。健康情報を基に従業員が不当な差別を受けることはあってはなりません。

従業員が安心して、自身の健康情報を企業に提供することができるよう、企業は従業員の健康情報を保護する義務があります。

健康情報取扱規程策定の義務化

労働安全衛生法１０４条３項及びじん肺法３５条の３第３項に基づき、平成３０年９月７日に公表された「労働者の心身の状態に関する情報の適正な取扱いのために事業者が講ずべき措置に関する指針」には、企業が健康情報取扱規定を策定することが義務付けられています。

取扱規程の策定方法

健康情報等に関する取扱規程は、労使間の協議により策定しなければなりません。

策定方法は、労働者の数によって変わります。
常時使用する労働者が５０人以上の事業場においては、原案を作成の上、事業場ごとに設置が義務付けられている衛生委員会又は安全衛生委員会（以下「衛生委員会等」）において審議する必要があります。

常時使用する労働者が50人未満の事業場においては、衛生委員会等の設置義務はありませんが、安全衛生の委員会、労働者の常会、職場懇談会等の「関係労働者の意見を聴くための機会」を設け、取扱規程について労働者の意見を聴取した上での策定が必要です。

事業場単位ではなく、企業単位で取扱規程を検討又は策定することもできます。

取扱規程に定めるべき内容

取扱規程には、

• ①健康情報等を取り扱う目的及び取扱方法
• ②健康情報等を取り扱う者及びその権限並びに取り扱う健康情報等の範囲
• ③健康情報等を取り扱う目的等の通知方法及び本人の同意取得
• ④健康情報等の適正管理の方法
• ⑤健康情報等の開示、訂正等の方法
• ⑥健康情報等の第三者提供の方法
• ⑦事業承継、組織変更に伴う健康情報等の引継ぎに関する事項
• ⑧健康情報等の取扱いに関する苦情処理
• ⑨取扱規程の労働者への周知の方法

を定める必要があります。

取扱規程は、その実効性確保や従業員への周知を図るためにも、就業規則等に記載することが望ましいです。

本人の同意取得に関する注意点

本人の同意取得とは、健康情報を企業に提供するよう求められる従業員本人の承諾する旨の意思表示を事業者等が認識することを言います。

労働安全衛生法等の法令に基づく場合や、人の生命、身体、又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等を除き、健康情報を取得する場合には本人の同意取得が必要です。

本人の同意を得ることを前提として、収集する健康情報の利用目的やその取扱方法等について従業員に周知する必要があります。
また、企業内でも取り扱う者が制限された健康情報について、取扱規程で明示した者以外にそれらの情報を開示する場合にも、原則として本人の同意取得が必要です。

本人の同意を得ていると言える事例として、厚生労働省は、

• 本人からの同意する旨の口頭による意思表示
• 本人からの同意する旨の書面（電磁的記録を含む。）の受領
• 本人からの同意する旨のメールの受信
• 本人による同意する旨の確認欄へのチェック
• 本人による同意する旨のホームページ上のボタンのクリック
• 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

を挙げています（平成３１年３月「事業場における労働者の健康情報等の取扱規程を策定するための手引き」）。

健康情報を取り扱う者に対する教育の必要性

企業は、健康情報の漏洩、滅失又は改ざんの防止等のための安全管理措置を講じなければなりません。

物理的措置や技術的措置も大事ですが、企業は、健康情報の取扱担当者に対しても、必要かつ適切な監督をすることも求められています。この担当者とは、企業の指揮命令を受けて業務に従事する者すべてを指し、雇用関係にある者に限られません。

企業は、健康情報の取扱担当者に対し、教育研修の実施をし、健康情報が漏洩した場合に従業員が被る不利益の大きさを理解させる必要があります。

健康情報の取扱いに関する裁判例

さて、今まで企業が健康情報を取り扱う際の注意点について説明してきましたが、ここでひとつ、事業者の健康情報の取扱いが問題となり従業員から訴えを起こされた事件で、裁判所が従業員への賠償を命じた裁判例を紹介します。

事件の概要

ある病院の看護師が、Ａ大学病院の血液検査の結果、ＨＩＶ陽性と診断されました。その看護師が働くB病院がＡ病院の医師からその情報を取得し、看護師の同意なく、B病院の他の職員らに伝達して情報を共有し、ＨＩＶ感染を理由に看護師の就労を制限したという事案です。

裁判所の判断(平成２４年（ワ）第７号・平成２６年８月８日・ 福岡地方裁判所久留米支部・損害賠償請求事件)

裁判所は以下の内容の判断をしました。

B病院の副院長や看護師長が、院長や看護部長等に看護師のHIV感染について伝達したことは、当該看護師の就労に関する方針を話し合うという労務管理目的であって個人情報保護法が禁ずる目的外利用である。

患者個人の医療情報は、重要な秘密とされる個人情報で、本人の同意のない情報共有は、プライバシー侵害の不法行為となり，本件就労制限も不法行為となる。
よって、休業損害及び慰謝料の相当額を認める。

ポイントと解説

ある人がHIVに感染していることが保護されるべき健康情報であることは間違いありません。

裁判所は、A病院が看護師のHIV感染を知るに至ったのは、病院と看護師との診療契約に基づくものであって、その情報は診療目的の範囲内で使用されるべきであり、労務管理に使用したのは目的外利用であると認定しています。

そして、それを知ったB病院が他の患者へのHIV感染を防止するために情報を共有し、就労制限を検討すること自体は不適切なことではないとして、目的外利用する必要性を認めながらも、それには原則として看護師本人の同意が必要であったとし、結果として病院の不法行為を認めています。

つまり、客観的に見て必要がある場合でも、当初知らされていた目的と違う目的で健康情報を利用する場合には、本人の同意取得が必要であり、それを怠った場合、企業に損害賠償責任が生じうるということに注意が必要です。

健康情報(要配慮個人情報)の適正な取り扱いについて、専門知識を有する弁護士がアドバイスさせて頂きます。

健康情報の適正な取扱いについては、情報の分類や取扱規程の策定方法につき、複雑な知識が必要とされています。
また、健康情報の取扱いを誤ると、従業員に甚大な不利益を与える可能性があり、賠償責任を負うことも考えられます。

弁護士法人ＡＬＧ＆Ａｓｓｏｃｉａｔｅｓでは、経験豊富な弁護士が健康情報の適正な取扱いについてアドバイスをすることができます。まずはお気軽にご相談ください。