雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について
平成16年7月1日 厚生労働省
「個人情報の保護に関する法律」(平成15年法律第57号)第8条の規定に基づき、個人情報の保護に関する施策及び個人情報の適正な取扱いの確保に関して行う活動を支援するため、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定いたしました。
1.趣旨
○ 個人情報保護法の規定に基づき、雇用管理の観点から事業者が構ずべき措置に関しての指針を策定。
○ 施行:平成17年4月1日(法律施行日)
2.主な項目
○ 雇用管理情報については、病歴、収入、家族関係といった特殊性を含むことに鑑み、以下の項目について、その適切な取扱いを企業に要請。
・収集する個人情報の利用目的を具体的に特定
・安全管理措置
個人データ管理者を事業所ごとに設置
・個人データの処理を外部に委託する場合の取扱い
再委託の制限、利用目的達成後の確実な破棄、削除
・労働組合の役割
企業が個人情報の取扱いについて、重要事項を決定する場合における組合との事前協議
3.各省庁の作成するガイドラインについて
○ 各省庁は所管事業についてガイドラインを策定することとなるが、雇用管理につき盛り込む場合には、厚生労働省との共同告示とする予定。
|
【問い合わせ先】 政策統括官付労働政策担当参事官室 電話 5253−1111(内線7728) 夜間直通 3595−3108 |
○厚生労働省告示第二百五十九号
個人情報の保護に関する法律(平成十五年法律第五十七号)第八条の規定に基づき、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針を次のように定め、平成十七年四月一日から適用する。
平成十六年七月一日
厚生労働大臣 坂口 力
雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針
第一 趣旨
この指針は、個人情報の保護に関する法律(以下「法」という。)に定める事項に閲し、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定めたものである。
なお、雇用管理に関する個人情報については、本指針によるほか、当該個人情報取扱事業者が行う事業を所管する大臣等が策定した指針その他の必要な措置に留意するものとする。
第二 用語の定義
法第二条に定めるもののほか、この指針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 事業者 法第二条第三項に規定する個人情報取扱事業者のうち雇用管理に関する個人情報を取り扱う者をいう(第四に規定する場合を除く。)。
二 労働者等 前号に規定する事業者に使用されている労働者、前号に規定する事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において事業者に使用されていた者をいう。
第三 事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項
一 法第十五条に規定する利用目的の特定に関する事項
事業者は利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。
二 法第十六条及び法第二十三条第一項に規定する本人の同意に関する事項
事業者が労働者等本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。
三 法第二十条に規定する安全管理措置及び法第二十一条に規定する従業者の監督に関する事項
事業者は、雇用管理に関する個人データの安全管理のために次に掲げる措置を講ずるように努めるものとすること。
(一)雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。
(二)雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。
(三)雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。
(四)雇用管理に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。
(五)雇用管理に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。
四 法第二十二条に規定する委託先の監督に関する事項
事業者は、雇用管理に関する個人データの取扱いの委託に当たって、次に掲げる事項に留意するものとすること。
(一)個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること。
(二)委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。
(1)委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(2)当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること。
(3)委託契約期間等を明記すること。
(4)利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。
(5)委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること
(6)委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。
(7)委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。
(8)委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
五 法第二十三条に規定する第三者提供に関する事項
事業者は、雇用管理に関する個人データの第三者への提供(法第二十三条第一項第一号から第四号までに該当する場合を除く。)に当たって、次に掲げる事項に留意するものとすること。
(一)提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(二)当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。但し、当該再提供が、法第二十三条第一項第一号から第四号までに該当する場合を除く。
(三)提供先における保管期間等を明確化すること。
(四)利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。
(五)提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
六 法第二十五条第一項に規定する保有個人データの開示に関する事項
事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならないこと。
七 法第二十九条第二項に規定する本人の利便を考慮した適切な措置に関する事項
事業者は、労働者等からの雇用管理に関する個人データの開示等の求めができるだけ円滑に行われるよう、閲覧の場所及び時間等について十分配慮すること。
八 法第三十一条に規定する苦情の処理に関する事項
事業者は、雇用管理に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。
九 その他事業主等が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項
(一)事業者は、六に定める保有個人データの開示に関する事項その他雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましいものであること。
(二)事業者は、九の(一)の重要事項を定めたときは、労働者等に周知することが望ましいものであること。
第四 個人情報取扱事業者以外の事業者による雇用管理に関する個人情報の取扱い
法第二条第三項に規定する個人情報取扱事業者以外の事業者であって、雇用管理に関する個人情報を取り扱う者は、第三に準じて、その適正な取扱いの確保に努めること。
“雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について”
H16.10.29 基発第1029009号
平成17年4月1日から個人情報の保護に関する法律(平成15年法律第57号)が全面施行されることに伴い、雇用管理に関する個人情報については、その適正な取扱いを確保するため、平成16年7月1日に、同法第8条の規定に基づき、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成16年厚生労働省告示第259号。以下「指針」という。)が公布されたところである。
「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)及び国会における附帯決議において医療分野における個人情報が特に適正な取扱いの厳格な実施を確保する必要があると指摘されていること、並びに平成16年9月に取りまとめられた「労働者の健康情報の保護に関する検討会」報告書の内容を踏まえ、今般、指針に定める雇用管理に関する個人情報のうち健康診断の結果、病歴、その他の健康に関する情報(以下「健康情報」という。)の取扱いについて、指針に定めるものに加えて事業者が留意すべき事項を別紙のとおり取りまとめた。
別紙
雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
第1 趣旨
この留意事項は、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成16年厚生労働省告示第259号。以下「指針」という。)に定める雇用管理に関する個人情報のうち健康情報の取扱いについて、指針に定める措置の実施等に加えて事業者が留意すべき事項を定めるものである。
第2 用語の定義
個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第2条及び指針第2に定めるもののほか、この留意事項において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
1 健康情報
指針に定める雇用管理に関する個人情報のうち、健康診断の結果、病歴、その他の健康に 関するものをいう。なお、健康情報に該当するものの例として、次に掲げるものが挙げられる。
(1) 産業医が労働者の健康管理等を通じて得た情報
(2)労働安全衛生法(昭和47年法律第57号。以下「安衛法」という。)第 65条の2第1項の規定に基づき、事業者が作業環境測定の結果の評価に基 づいて、労働者の健康を保持するため必要があると認めたときに実施した健康診断の結果
(3)安衛法第66条第1項から第4項までの規定に基づき事業者が実施した健康診断の結果並びに安衛法第66条第5項及び第66条の2の規定に基づき労働者から提出された健康診断の結果
(4)安衛法第66条の4及び第66条の5第1項の規定に基づき事業者が医師等から聴取した意見及び事業者が講じた健康診断実施後の措置の内容
(5)安衛法第66条の7の規定に基づき、事業者が実施した保健指導の内容
(6)安衛法第69条第1項の規定に基づく健康保持増進措置(THP:トータル・ヘルスプロモーション・プラン)を通じて事業者が取得した健康測定の結果、健康指導の内容等
(7)労働者災害補償保険法(昭和22年法律第50号)第27条の規定に基づき、労働者から提出された二次健康診断の結果
(8)健康保険組合等が実施した健康診断等の事業を通じて事業者が取得した情報
(9)受診記録、診断名等の療養の給付に関する情報
(10)事業者が医療機関から取得した診断書等の診療に関する情報
(11)労働者から欠勤の際に提出された疾病に関する情報
(12)(1)から(11)までに掲げるもののはか、任意に労働者等から提供された本人の病歴、健康診断の結果、その他の健康に関する情報
2 産業保健業務従事者
産業医、保健師等、衛生管理者その他の労働者の健康管理に関する業務に 従事する者をいう。
第3 健康情報の取扱いについて事業者が留意すべき事項
1 法第16条及び法第23条第1項に規定する本人の同意に関する事項(指 針第3の2関係)
(1)事業者が、労働者から提出された診断書の内容以外の情報について医療機関から健康情報を収集する必要がある場合、事業者から求められた情報を医療機関が提供することは、法第23条の第三者提供に該当するため、医療機 関は労働者から同意を得る必要がある。 この場合においても、事業者は、あらかじめこれらの情報を取得する目的を労働者に明らかにして承諾を得るとともに、必要に応じ、これらの情報は労働者本人から提出を受けることが望ましい。
(2)また、事業者が、健康保険組合等に対して労働者の健康情報の提供を求める場合、事業者と健康保険組合等とは、異なる主体であることから、法第23条の第三者提供に該当するため、健康保険組合等は労働者(被保険者)の同意を得る必要がある。この場合においても、事業者は、あらかじめこれら の情報を取得する目的を労働者に明らかにして承諾を得るとともに、必要に応じ、これらの情報は労働者本人から提出を受けることが望ましい。ただし 事業者が健康保険組合等と共同で健康診断を実施する場合等において、法第23条第4項第3号の要件を満たしている場合は、当該共同利用者は第三者に該当しないため、当該労働者の同意を得る必要はない。
2 法第20条に規定する安全管理措置及び法第21条に規定する従業者の監 督に関する事項(指針第3の3(1)及び(2)関係)
(1)健康診断の結果のうち診断名、検査値等のいわゆる生データの取扱いについては、その利用に当たって医学的知識に基づく加工・判断等を要することがあることから、産業医や保健師等の看護職員に行わせることが望ましい。
(2)産業保健業務従事者以外の者に健康情報を取り扱わせる時は、これらの者が取り扱う健康情報が利用目的の達成に必要な範囲に限定されるよう、必要に応じて健康情報を適切に加工した上で提供する等の措置を講ずること。
3 法第31条に規定する苦情の処理に関する事項(指針第3の8関係)
指針第3の8に定める苦情及び相談を受け付けるための窓口については、健康情報に係る苦情及び相談に適切に対応するため、必要に応じて産業保健 業務従事者と連携を図ることができる体制を整備しておくことが望ましい。
4 その他事業者が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項
(1)事業者は、健康診断等を医療機関に委託することが多いことから、健康情報についても外部とやり取りをする機会が多いことや、事業場内においても 健康情報を産業保健業務従事者以外の者に取り扱わせる場合があること等にかんがみ、あらかじめ、雇用管理指針第3の6に掲げるもののほか、以下に掲げる事項について事業場内の規程等として定め、これを労働者に周知するとともに、関係者に当該規程に従って取り扱わせることが望ましい。
(a)健康情報の利用目的に関すること
(b)健康情報に係る安全管理体制に関すること
(c)健康情報を取り扱う者及びその権限並びに取り扱う健康情報の範囲に関すること
(d)健康情報の開示、訂正、追加又は削除の方法(廃棄に関するものを含む。)に関すること
(e)健康情報の取扱いに関する苦情の処理に関すること
(2)事業者は、(1)の規程等を定めるときは、衛生委員会等において審議を行った上で、雇用管理指針第3の9(1)に定めるところにより労働組合等に通知し、必要に応じて協議を行うことが望ましい。
(3)事業者は、安衛法第66条第1項及び第2項等の規定に基づき行われた健康診断を受けた労働者等に対し、遅延なく、その結果を通知すること。
(4)HIV感染症やB型肝炎等の職場において感染したり、蔓延したりする可能性が低い感染症に関する情報や、色覚検査等の遺伝情報については、職業上の特別な必要性がある場合を除き、事業者は、労働者等から取得すべきでない。
(5)労働者の健康情報は、医療機関において「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に基づき取り扱われ、また、健康保険組合において「健康保険組合等における個人情報の適切な取扱いのためのガイドライン」に基づき取り扱われることから、事業者は、特に安全管理措置等について、両ガイドラインの内容についても留意することが期待されている。
第4 個人情報取扱事業者以外の事業者による健康情報の取扱い
個人情報取扱事業者以外の事業者であって健康情報を取り扱う者は、健康情報が特に適正な取扱いの厳格な実施を確保すべきものであることに十分留意し、第3に準じてその適正な取扱いの確保に努めること。