産業保健の情報管理、委託先はしっかりしてくれていますか?
- 2020/11/16
- 衛生管理者
産業医の面談記録や、ストレスチェックの結果は要配慮個人情報であるため、取り扱いに十分気を付ける必要があります。
今回は、ストレスチェック結果や産業医面談の記録を取り扱う上で注意すべき点をわかりやすく解説します。
要配慮個人情報とは?
「要配慮個人情報」とは、個人情報の保護に関する法律(個人情報保護法)2条3項にて、以下のように定めれらています。
<個人情報の保護に関する法律>
2条
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
具体的な要配慮個人情報としては以下が該当します。
(1)人種
(2)信条
(3)社会的身分
(4)病歴
(5)犯罪の経歴
(6)犯罪により害を被った事実等のほか
(7)身体障害、知的障害、精神障害等の障害があること
(8)健康診断その他の検査の結果
(9)保健指導、診療・調剤情報
(10)本人を被疑者または被告人として、逮捕、捜索等の刑事事件の手続が行われたこと
(11)本人を非行少年またはその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたこと
産業保健では主に「(8)健康診断その他の検査の結果」、「(9)保健指導、診療・調剤情報」が扱われます。
ストレスチェックの結果も「(8)健康診断その他の検査の結果」に含まれると考えて差し支えないでしょう。
気を配るのは社内だけではない
当然のことですが、要配慮個人情報は漏えいした時のダメージが大きいため、社外へ持ち出さないことが基本です。
紙媒体でも電子媒体でもこれは同様です。
個人情報の漏えいをふせぐために、まずは個人情報を管理する台帳を作成し、会社としてどれだけの個人情報を扱っているのか把握しましょう。
次に業務フローを作成し、どの部分に漏えいのリスクがあるのか確認し、そのリスクを最小限にするように検討してください。
その際、個人情報の管理を外部に委託しているかどうかも確認する必要があります。
外部委託してるのであれば、委託先が情報漏えいしない体制や運用が整っているかどうか、しっかり確認を取りましょう。
Pマークを持っていれば個人情報の扱いは万全といえる?
委託先が個人情報をしっかり扱っているかどうかを確認する手段としては、覚書の締結、アンケートで確認、現地確認などがあります。
なかにはまれに「Pマーク取っているから」という理由をもって確認したとするケースがあります。
Pマーク審査をクリアしている証ですので、個人情報をきちんと管理している会社かもしれません。
しかし実はPマークの審査機関は複数存在しており、それによって濃淡が異なることをご存知でしょうか。
一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマーク指定審査機関一覧」
特に要配慮個人情報を大量に扱う企業・団体は、「一般財団法人 医療情報システム開発センター(以下、MEDIS)」Pマーク審査を受けなくてはなりません。
厳密には保有する個人情報の50%以上が要配慮個人情報であった場合、MEDISが審査を行います。
MEDISは保健・医療・福祉分野の事業者の審査を行う機関であり、医療法人などがMEDISで審査を受けます。
センシティブな情報を扱う事業者の審査を行いますので、もちろん審査はとても厳格で、通常の審査機関よりもかなり厳しい対策を求められ、たとえば、要配慮個人情報を取り扱うPCは通常のネットワークと分離しなければなりません。
個人情報の取り扱いは常にリスクが付きまとうため、一概にMEDISの審査を通っているから絶対大丈夫とは言い切れないかもしれませんが、委託先のPマーク審査機関を尋ねてみるのも安心材料の一つとなるのではないでしょうか。