|
個人情報保護法が改正され、個人情報などの取り扱いのルールが厳しくなったと聞きましたが、どのように変わったのでしょうか?
個人情報は、今年の改正で新たに設けられた「要配慮個人情報」にあたるため、原則として本人の同意なく第三者提供できないよう規制が強化されました。ただし、健康診断など会社に法律で義務付けられているものは本人の同意を得る必要はありません。この例外的な取り扱いは以前からあり、改正によって変わったわけではありません。
平成29年5月30日に改正個人情報保護法が施行されました。事業者に対する監督権限を一元化する「個人情報保護委員会」の新設、これまで個人情報の取り扱いが少ない事業者を法律の適用対象外としていたものが廃止されるなど大幅な改正となりました。
ご質問の健康診断に関する改正は、「要配慮個人情報」のことです。本人の人種、信条、病歴など本人に対する不当な差別や偏見が生じる可能性のある個人情報は、新たに「要配慮個人情報」と定義され、これらの取得については原則として本人の同意を得ることが義務化されました。また、個人情報を第三者に提供することについても原則禁止されています。オプトアウト※という本人の同意なく提供できる方法について「要配慮個人情報」は除外されたため、第三者に提供するときには個別に本人の同意を得ることが原則となります。
※本人の求めに応じて第三者提供を停止することを条件に、本人の同意を得ることなく第三者に個人情報を提供できるもの。今回の改正により、実施要件に個人情報保護委員会への届け出が追加されました。
第三者提供については、「法令に基づく場合」「人の生命・人体・財産の保護の必要があり、本人の同意を得ることが困難なとき」などは、本人の同意は必要ありません。会社の扱う個人情報について、種類ごとに同意の必要・不必要を確認していきましょう。なお同意を得て健康情報を取得する場合も、個人情報取り扱いの基本ルールとして、あらかじめ利用目的を本人に通知する必要があります。
例えば、傷病休職の際に提出された医師の診断書など、会社は労働者の健康情報を受け取ることがあります。ただ、この診断書の内容だけでは不足していて、もう少し知りたいとしても、労働者から提出された診断書の内容以外の情報を本人の同意なく取得することはできません。医師が本人の同意なく健康情報を第三者に提供できないからです。
「健康診断」と、長時間労働の際に必要な「医師による面談指導」については、労働安全衛生法により会社に実施が義務付けられています。これらを実施するために会社が医師に提供する労働者の個人情報、それと実施結果を医師が会社に提供することについては、第三者提供の例外である「法令に基づく場合」にあたるため、本人の同意は必要ありません。
平成27年12月から、50人以上規模の会社に義務付けられた「ストレスチェック」についても確認しましょう。ストレスチェックについては、結果を解雇等の不当な目的に利用されるのを防ぐため、一般の健康診断結果よりも厳しい取扱いのルールが定められています。まず、ストレスチェックの実施に当たって、会社が外部の実施期間に必要な労働者の個人情報を提供することは、「法令に基づく場合」当たり、本人の同意を得る必要はありません。次に、ストレスチェックの結果を受けた労働者が、医師による面接指導を申し出た時は、その申し出が会社へのストレスチェック結果の提供に同意したとみなすことができるとして、事業者の求めに応じて外部機関がストレスチェック結果を提供するに当たり、改めて本人の同意を得る必要がないとされています。