ストレスチェックの実施委託における健康情報の管理

 個人情報取扱事業者である企業が、嘱託産業医にストレスチェックの実施を委託する際に、労働者の心身の状態に関する情報(健康情報)を含む個人データ(データベースを構成する個人情報)の入力・集計・管理の全部または一部をも業務委託する場合、原則として本人の事前同意が必要となる第三者提供(例:親会社から子会社へ、出向元から出向先へ)とは異なり、利用目的の達成に必要な範囲内であれば、受託者である産業医に個人データを提供する際に労働者本人の同意を得る必要はありません。

 また、委託は、特定のグループ間(例:グループ企業間での出向)で個人データを共同利用する場合とも異なり、共同利用される個人データの項目・利用目的や共同利用者の範囲等を事前に本人に対して通知し、または本人が容易に知り得る状態に置く必要はありません。

 その代わり、委託者である企業は、健康情報の安全管理が図られるよう、受託者である嘱託産業医に対する必要かつ適切な監督をする義務が課されます。すなわち、企業は、社内の情報管理だけでなく、社外の情報管理も徹底しなければならず、産業医を監督するため、産業医に個人データを伝達する目的、対象や範囲を限定し、業務委託契約書において、その旨明記するとともに、目的外利用や情報持ち出しを禁止するなどの条項を定めなければなりません。秘密保持は、契約中だけでなく、契約終了後も継続する旨の条項を入れることが肝要です。

 嘱託産業医が個人情報を漏洩(流出)した場合、企業は安全管理に関する監督について相当の注意をしていれば、労働者本人に対する損害賠償責任を負うことはありませんが、裁判例の傾向からすると、相当の注意を尽くしたと認定されることはほとんどありません。そのため、企業は、産業医の個人情報漏洩により損害賠償責任を負うリスクが高いことを肝に銘じ、産業医を監督しなければなりません。

 受託者である嘱託産業医についても、委託者である企業に対する損害賠償責任と労働者本人に対する損害賠償責任を負うことになるので、健康情報を含む個人データの安全管理措置を徹底することが必要です。


企業のためのメンタルヘルス対策室のご相談 労働問題に特化して20年の実績と信頼。つまこい法律事務所にご相談ください。 03-6806-0265 受付時間:平日 9:00~18:30(当日相談可能)JR御徒町駅より徒歩5分 ご相談の予約