| 収集 |
|
・第15条(利用目的の特定) 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。 ・第17条(適正な取得) 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。 ・第18条(取得に際しての利用 目的の通知等) 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 2項 直接書面に記載された当該本人の個人情報を取得する場合、あらかじめ、本人に対して、その利用目的を明示しなければならない。 ・第23条(第三者提供の制限) 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 ・刑法134条(秘密漏示) 医師、薬剤師、医薬品販売業、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、6月以下の懲役又は十万円以下の罰金に処する。 |
○事業者が法定外健診結果を収集する場合の労働者の同意 ・安衛法等において、事業者は、労働者の健康の保持増進を図るため必要な措置を継続的かつ計画的に講ずるように努めることとされており、労働者も事業者が講ずる措置を利用して、その健康の保持増進に努めるものとされている。これらの努力義務に係る健康情報については、労働者と事業者が事前に協議し、その情報の収集についてのルールを策定しておくことが必要である。 また、任意の健康情報についても、事業者がその結果を収集する場合には、本人の事前の同意を得る必要がある。 なお、事業者に実施及び結果保存の義務がある法定健診と異なり、事業場の外からの健康情報を収集する場合、事業者は何らかの方法により労働者の同意を得ておく必要がある。さらに、健康診断を行う医師は、法定項目ではない家族歴や生活習慣に関する情報等の収集にあたっては、医学的な必要性を充分吟味、判断した上で収集すべきであるとともに、受診者の意思で情報の提供を拒否することもできるよう配慮が求められる。 ○医療機関からの健康情報収集のルール化 労働者が事業場に提出する診断書等の健康情報については、プライバシーの保護の観点から、誰がどのように収集するかに関して、事業場におけるルールを策定し、そのルールを遵守する必要がある。 ・職場の上司が、原則的に本人(労働者)の同意なしに医療機関から労働者の健康情報を収集するべきではない。 ・労働者から提出された診断書よりも詳細な内容(診療経過等の医療情報等)について情報を収集する必要がある場合は、産業医等が、労働者の同意を得た上で、医療機関の医師に対して情報提供を求めるよう事業所内でルール化しておく必要がある。 |
| 利用 |
|
・第15条(利用目的の特定) 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。 2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない ・第16条(利用目的による制限) 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 |
○健康情報の利用のルール化等 事業場で保管している健康情報の利用目的は、事業者が行う就業上の措置に活用することであり、目的に合致しているかどうかの判断基準や、その判断をする者を事業場のルールで明確にする必要がある。 このルールに基づき個別の事例について判断する者としては、産業医等や衛生管理者等が適当であると考えられる。 ○健康情報の目的外利用の取扱い 労働者個人の健康情報は同意が得られた場合を除いて目的外利用は、原則的に認められない。 |
| 管理 |
|
・第20条(安全管理措置) 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措を講じなければならない。 ・第21条(従業者の監督) 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 ・第22条(委託先の監督) 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
○保管体制のルール化 事業場では、法定健診結果、努力義務に基づく健康情報、任意の健康情報、事業場の外からの健康情報に分けて保管体制を定めておくことが望ましい。 保管方法についても、事業場においてルール化し、これを遵守するとともに、健康情報を保管する担当部門は、健康情報の処理の状況(誰がどのような目的で使用したか、等)を記録し、併せて保管しておく必要がある。なお、ルールに基づく健康情報の保管は、産業医等又は衛生管理者等が責任を持って行うことが望ましく、さらに可能な限り事業場組織内で一部門として独立していることが望ましい。 ○外部機関における保管責任の明確化 事業者は、健康診断を実施する医療機関との契約に際して、その機関で収集された労働者の健康情報の保管に関して、プライバシーの保護の観点からの規定を盛り込んでおくことが必要である。 ○一般診療記録と健康管理記録の保管 産業医等が、一般診療活動(事業場内外の診療所における診療)も併せて行っている場合は、産業医等の活動としての健康管理記録と臨床医としての一般診療記録を区別して保管し、事業場への情報提供等に当たっては、いずれの情報か明確に区別した上で必要な対応をする必要がある。 |
| 管理 |
|
・第16条 2(利用目的による 制限) 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。 |
○安衛法等の健康情報に係る守秘義務の拡大についての検討 安衛法等における守秘義務は、法定健診結果のみではなく、努力義務に係る健康情報、また任意の健康情報、事業場の外からの健康情報についても、その処理に関わった者に守秘義務を拡大することについての検討が必要である。 ○労働者の健康情報の管理を産業医等が一元的に担うことの検討 日本産業衛生学会、ILO、ICOHの倫理規程等では、労働者の健康情報は、医師その他の専門職が保管、使用すべきものとしている。これらの考え方から、法定健診結果も含め、労働者の健康情報の処理については、産業医等が責任を持つ体制を検討すべきではないかとの意見もある。例えば、フランスにおいては、産業医の独立性・中立性が保たれつつ、厳しく情報管理が行われており、事業者は、法定健康診断を実施しても労働者の生の健康情報を入手することはできず、適正配置に必要な情報のみを産業医から得ている。しかし、このような考え方については、事業者に健康診断の実施及びその結果に基づく就業上の措置等を課す現行の安衛法等の規定や、判例における民事責任の基本的考え方と相容れない面がある。このため、事業者と産業医等について、それぞれの労働者の健康確保等に関する責任の範囲についての検討が併せて必要であり、これら関係者等の十分な理解と合意が得られるよう慎重な検討がなされなければならない。 |
| 開示 |
|
・第24条(保有個人データに関 する事項の公表等) 個人情報取扱事業者は、保有個人データに関し、本人の知り得る状態に置かなければならない。 ・第25条(開示) 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。 |
○健康情報の開示 事業者が保管している法定健診結果、努力義務に係る健康情報、任意の健康情報、事業場の外からの健康情報は、本人の求めに応じて原則的には開示されるものと考えられる。しかし、産業医等が行った保健指導における記録や、診断名や治療記録等の中には、必ずしも開示することが適切でない場合もあることに十分留意する必要がある。また開示される前提として、事業者は、それらの健康情報の収集・保管状況について、労働者本人が知り得るように配慮しなければならない。 また、特殊健康診断の結果については、労働者の作業管理への意識の高揚や、作業環境改善への協力を得やすくするため、法令上の通知義務がなくとも、事業者が、労働者本人への通知に取り組むことが望ましい。 |
| 第三者提供 |
|
・第23条(第三者提供の制限) 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。 二 合併その他の事由による事業の承継に伴って個人データが提供される場合 |
○健康情報の目的外提供
○離職時に健康情報を提供する場合 ○退職後の健康情報管理 ○感染症に関する健康情報の処理 他の労働者に伝染させるおそれが著しい結核等の場合、事業者は事業場内で伝染防止対策を講ずる必要がある。そのため、公益性の観点から、産業医等や衛生管理者等、外部の専門家と協議した上で、本人の同意なしに必要な情報を職場内外で使用せざるを得ない場合もある。その際にも慎重な取扱いが行われるべきである。 ○労働契約が承継された場合 会社の営業譲渡、合併等により労働契約が承継された場合、事業者が保存している労働者の健康情報のうち、一般定期健康診断に関する情報については、本人を経由して新しい事業者へ提供することが望ましい。 また、有害因子のばく露等に関する情報や特殊健康診断結果等については、旧事業場で有害作業を行っていた場合、新しい事業場で同様の作業がなければ、当該作業に関するばく露歴や特殊健康診断結果等は新しい事業場で有効に活用される情報とは考え難い。したがって、特殊健康診断に関する情報の提供については、本人の同意を得ることを前提とし、移動前後の作業や作業環境の関連性を考慮し、移動先での健康の保持に重要な情報か否かを産業医等が判断して提供すべきであり、事業者が一律に情報を提供すべきではないと考えられる。 |
| その他の課題 |
|
○メンタルヘルスに関する健康情報の処理 メンタルヘルスに関する健康情報は、他の健康情報と異なり、本人の自覚と病状との乖離、あるいは誤解や偏見を招きやすいといった側面もあり、周囲に理解されにくく、職場の協力が得られにくいといった問題がある。 メンタルヘルスに関する健康情報の収集、保管については、産業医等や衛生管理者等がその健康情報の内容を判断し、その処理を協議することが重要である。 軽いストレス等の精神的負荷の程度が軽く、本人に現状の判断能力がある場合、産業医等やその他の産業保健スタッフ(保健婦(士)、衛生管理者等)は、情報を共有する範囲(内容や人)を最小限にするよう努めなければならない。 一方、メンタルヘルスに関し病状が重篤な場合、本人が適正な判断を行うことが困難であることも考えられる。このような際には、産業医等や衛生管理者等は、本人の同意とは関係なく、本人の主治医から適切な情報の提供を受ける必要がある場合もある。 ○感染症や遺伝に関する健康情報の処理 HIV感染症やB型肝炎等の感染情報や、色覚検査等の遺伝情報の処理は、特に慎重に検討を要する課題である。これらは、本人の努力(治療等)で改善できる健康情報ではなく、また、事業者が就業上の配慮を行うことは、しばしば困難である。そのため、事業者は、それらの情報を積極的に収集すべきではないと考えられる。 特に、近年B型肝炎については、B型肝炎ウイルス抗体検査の必要性は低くなっており、B型肝炎だけでなくC型肝炎等も含め、日常生活で感染しないことが明らかである感染症については、個人情報の保護の観点からは健康診断項目からの削除を含め、その取扱いを検討すべきである。 また、遺伝情報については、職域においては処理しないことを原則とすべきである。 ○小規模事業場における固有の問題 健康情報の管理体制の整備が困難な小規模事業場の場合は、事業場外の機関(例えば健康診断を実施する医療機関や、地域産業保健センター等)に保管を委託する等適切な健康情報の管理方法について検討する必要がある。 |