前号では、業種にかかわらず要配慮個人情報を取り扱う場面が生じると説明した。
本号では、まずその代表的な例として、定期健康診断の実施をめぐり実務対応で変更が必要か否か解説する。そして、個人情報保護法の規定を踏まえて、本人のプライバシー保護を図りつつ実務への影響を抑えた要配慮個人情報の取り扱いについて検討する。
1.定期健康診断の実施にかかわる影響
労働安全衛生法は、事業者に対して労働者への医師による各種健康診断の実施を義務づけている。ここでは、定期健康診断(同法66条、同規則44条)を例に実務への影響を考えてみる。同法に従って健康診断を実施しようとすると、個人情報保護法上は、(ⅰ)定期健診結果が要配慮個人情報に該当するか(ⅱ)要配慮個人情報の取得の制限があるか(ⅲ)要配慮個人情報の提供の制限があるか、という3つの判断が求められる(図表1参照)。
まず、定期健診は医師によって行われる健康診断であるから、その結果は要配慮個人情報に該当する(個情法2条3項、施行令2条2号。(ⅰ))ところ、定期健診結果から健康診断個人票を作成し保管する義務がある(労衛法66条の3)ため、事業者は必ず要配慮個人情報を取得することとなる。この取得にあたり本人の同意を必要とするかであるが、健康診断個人票の作成・保管義務のなかには、要配慮個人情報を取得する行為が含まれ、法令に基づきこれを取得するものであるため、同意は不要である(個情法17条2項1号。(ⅱ))。そして、定期健診結果は、所管労働基準監督署に報告しなければならない(労衛法100条)ことから、要配慮個人情報(個人データとして取り扱われる場合に限る)の第三者提供を行うこととなる。これについても、報告に伴う要配慮個人情報を含む健診結果の提供は、法令に基づくものであるため、本人同意は不要である(個情法23条1項1号。(ⅲ))。
このように、定期健診に関しては、要配慮個人情報を取り扱うこととはなるが、労衛法の定めをもって、これまでと同様の実務運用によることができる。
2.要配慮個人情報取得への対応
前述のとおり、要配慮個人情報を取り扱う場合であっても、法令に基づく取得のように、本人同意が不要とされる場合もある。そこで、まずは例外事由(個情法17条2項各号、施行令7条、施行規則6条)を確認し、同意の要否を判断することが必要となろう。
例えば、業務委託や共同研究開発に伴い要配慮個人情報を取得する場合には、提供側で法23条5項1号または3号に該当すれば本人同意が不要となり、それに対応する取得についても同意は不要とされる(同法17条2項6号、施行令7条2号)。また、私立大学との共同研究には義務規定が適用されない場合もある(同法76条1項3号)。
例外事由等に該当せず要配慮個人情報を取得することとなる場合、直接本人からこれを取得するのであれば、契約書や同意書面への署名を得るなど、取得趣旨等を説明のうえ有効な同意を得る必要はあるものの、同意取得は比較的容易であろう(図表2①)。
他方、直接本人から取得しない場合、例えば、一次取得者(図表2のA)が、二次取得者(図表2のC)が取得することを本人に説明して取得の同意を得ることや、二次取得者から要配慮個人情報の取得(個人情報保護法上の取り扱いに含まれる)の委託を受けて、図表2①の取得が二次取得者の取得行為でもあると整理することが考えられる。取得経緯、関係者の事情等、取得の実情にあわせて、自社に適合する取り扱いを検討されたい。
