【Q】
弊社は,社内に健康管理部門を設け健康診断を実施しています。また,同時に診療所も開設して診療を行っています。現在,個人情報保護の観点から,健康診断結果と診療結果を別々に管理しています。情報を双方で共有する場合は,個人ごとの了解を得ています。
今般,ストレスチェック制度が施行され,再度個人情報の取り扱いについての整理がされています。個人の健康管理の効果を上げるためには,できるだけ結果をまとめて,それぞれの関係者が活用できることが望ましいと思います。従業員の健康診断結果,診療結果を,下記のような方法で従業員に周知した場合,個人情報保護の観点から法に抵触したり,健康管理に弊害が生じることがありましたらご教示頂ければ幸いです。
(1)健康診断時,診察時に「健診結果,診療結果はまとめて,双方の部門で健康指導に活用する」旨を話すか,利用する診断記載用紙に記載しておく。
(2)健康診断結果,診療結果の本人への説明時に「健診結果,診療結果はまとめて,双方の部門で健康指導に活用する」旨を話すか,本人に渡す結果通知書に記載しておく。
(3)健康診断実施場所,診察室(受付)に「健診結果,診療結果はまとめて,双方の部門で健康指導に活用する」旨を掲示する。
(4)組合との交渉や社内の衛生委員会で「健診結果,診療結果はまとめて,双方の部門で健康指導に活用する」旨を話し合い,文書で交換,必要なら個人に配布,掲示をしておく。
いずれも,賛成頂けない人は,申し出を拒むものではありません。
以上,ご教示のほどよろしくお願いします。
(東京都 A)
【A】
個人情報保護法は,半年以内に5000件以上の個人情報についての取り扱いのあるものを個人情報取扱事業者として規制対象としています。また,これに満たないものでも,個人情報取扱事業者に準じて管理することを努力義務として課していますので,これを前提にお答えします。
まず,個人情報取扱事業者(個人情報保護法第2条第3項)は,個人情報保護法上の義務として,利用目的を特定し(同法第15条第1項),あらかじめ公表するか本人に通知するなど(同法第18条第1項)の義務が課されます。利用目的の特定については「できる限り特定」(同法第15条)することが必要です。
具体性としては,利用目的達成に必要か否かを実際に判断できる程度に,可能な限り明確にすることが求められています。
ほかの事業所などへの情報提供を伴う利用目的としては,ガイドラインに具体例が示されており,ほかの病院,診療所等との連携などが挙げられます。
ご相談内容によると,ガイドラインにある記載例より具体的と言えるか懐疑的な面もありますので,ガイドラインに従った文言とするのがよいかと思います。
ご相談頂いた事案では,「診療結果および健診結果は,従業員の健康の保持・増強のために,○○会社の健康管理部門と△△診療所との間で相互に利用します」といった記載例が考えられます。
その上で,個人情報を第三者に提供するには,原則として本人の同意が必要となりますので(個人情報保護法第23条第1項),診療所と健康管理部門との間で診療情報をやりとりすることが,個人情報を第三者に提供することになるかどうかを検討することになります。
まず,第三者性についてですが,第三者提供にあたるとされる場合として,
・親子兄弟会社,グループ会社の間での個人データの交換
・フランチャイズ組織の本部と加盟店の間での個人データの交換
などが考えられます。
第三者提供にあたらない場合としては,
・同一事業者内で他部門へ個人データを提供すること
が挙げられます。
これらのことから,同一事業者の開設する複数の病院間では,相互に「第三者」に該当しないものと考えられます(ガイドライン)。
ご相談頂いた内容からだけでは必ずしも判断しかねますが,おそらく,同一の会社で設置・運営している診療所と健康管理部門とは相互に第三者にあたらないのではないかと思います。
このような場合には,第三者に提供する場合にあたらないので,そもそも同意は不要となります。
仮に,診療所の事業主体が異なるとされて「第三者」に当たるとすれば,原則として本人の同意が必要となりますが,個別に同意を得ていなくても,本人の同意が得られていると考えることができる場合もあります。
具体的には,患者への医療の提供のため,ほかの医療機関などとの連携を図ることなどが,利用目的に記載されている場合です。
つまり,利用目的をしっかり特定して,公表していれば,結果的に同意があったものと考えることができます。すなわち,利用目的を公表していることから,受診者はどのような目的で個人情報を利用されるかを知った上で受診しており,利用目的についても同意していると推定されることになります。
公表の方法と時期について,ご相談頂いている4つの方法を比較しますと,(1)の方法が最も良い方法と言えるでしょう。
(2)の方法ですと,公表の時期としては事後報告となってしまうので,実質的に受診者の拒否を受け付けないこととなってしまうので,問題があります。
(3)の方法のように,掲示によって公表することも問題はないのですが,その場合には,掲示のサイズや,受診者への十分な案内がなされていることが前提となってきますので,小さく掲示していたといった場合には,問題が生じることになりかねません。
(4)の方法では,組合に対して公表して同意を得ることになっていますが,あくまでも個人を対象として公表し,同意を得る必要があるものですので,組合を主体とした説明は不適切であると思料致します。
また,ご指摘頂いている通り,拒否することができることも公表内容に含めることが必要になります。
そのほかには,個人情報の開示の申し立てがあったときの手続きについても定めておくとよいでしょう。
なお,ストレスチェックにおける情報については,情報の帰属主体が事業者であっても,その利用には結果通知後の厳格な同意が必要とされます(労働安全衛生法第66条の10第2項)のでご注意下さい。