ストレスチェックOEM代理店が押さえるべき個人情報・守秘義務ガイド｜クライアント企業の健康情報を適法に扱う実務手順

OEM代理店が取り扱う情報の法的位置付け

ストレスチェックOEM代理店は、提供先企業（クライアント）の従業員の「ストレスチェック結果」を扱います。この情報は個人情報保護法上の要配慮個人情報（健康情報）に該当します（個情法第2条第3項）。

要配慮個人情報は通常の個人情報より厳格な取扱いが求められ、次の規制が上乗せされます。

• 取得には原則として本人の明示的な同意が必要
• 第三者への提供はオプトアウト（本人の事前同意なしの提供）不可
• 漏えい等が発生した場合、個人情報保護委員会への報告義務（1人でも）
• 安全管理措置の強化が求められる

守秘義務の法的根拠と違反時の罰則

ストレスチェックに関わる者には、労働安全衛生法第104条により守秘義務が課せられています。対象者は実施者だけでなく、実施事務従事者・外部委託先を含むすべての関係者です。

OEM代理店として押さえるべき重要点は、この守秘義務は代理店スタッフ個人にも直接適用されるという点です。「会社の指示だった」という主張は守秘義務違反の免責理由になりません。

OEM代理店が整備すべき4つの個人情報保護体制

1. 委託契約書への必須記載事項

クライアント企業（事業者）との委託契約書には、個人情報保護法第24条の規定を踏まえ、以下の事項を明記する必要があります。

• 取り扱う個人情報の種類・利用目的（ストレスチェック実施目的のみ）
• 安全管理措置の内容（暗号化・アクセス制限・ログ管理）
• 再委託の制限（原則禁止、または許可する場合の条件）
• 漏えい等発生時の報告義務（即時・クライアントへの通知）
• 契約終了後のデータ返却・廃棄方法と期限
• 廃棄証明書の提供義務

2. 個人情報の目的外利用の禁止

取得したストレスチェック結果データを、自社の他サービス提案・マーケティング・他クライアントへの比較情報提供などに利用することは厳禁です。利用目的はストレスチェック実施と関連業務（面接指導の調整・集団分析・報告書作成）に限定されます。特にダッシュボードや集計レポートを複数クライアント間で比較する機能は、匿名化処理が不十分な場合に個人情報保護違反になりうるため注意が必要です。

3. 再委託時の管理責任

OEMプロバイダー（例: WellMilなどのシステム提供元）にデータ処理を委託する行為は、個人情報保護法上の「再委託」に該当します。再委託を行う場合は次の点を確認してください。

• クライアントへの事前通知または契約書への明示
• 再委託先の安全管理措置の確認（ISO27001・プライバシーマーク等）
• 再委託先が同等の個人情報保護義務を負う旨の契約
• 再委託先でのデータ保管国・サーバー所在地の確認（国外移転には別途規制）

4. 従業員への教育と秘密保持誓約書

代理店スタッフ全員に対して、以下の措置を実施してください。

• 入社時・業務開始前に秘密保持誓約書を締結
• 個人情報保護法・守秘義務規定の研修（年1回以上）
• 退職時の誓約書（退職後も守秘義務は継続）
• ストレスチェックデータへのアクセスは業務上必要な担当者のみに限定

プライバシーマーク・ISO27001取得は必須か

プライバシーマーク（Pマーク）やISO27001の取得は法律上の義務ではありませんが、クライアント企業との契約において取得状況を確認されるケースが増えています。特に大企業・上場企業への営業では、情報セキュリティ認証がない代理店は選定から外れる場合があります。

OEM事業を開始する初期段階では、JIPDECのプライバシーマーク取得ガイドラインを参考に最低限の個人情報保護体制を整備し、取得に向けた計画を立てることを推奨します。

漏えい発生時の対応フロー

万一、ストレスチェックデータが漏えいまたは漏えいのおそれが生じた場合は、速やかに以下のフローで対応します。

1. 即時封じ込め：アクセス遮断・システム隔離・証拠保全
2. クライアント企業への報告：発生事実・影響範囲・初期対応を速やかに通知
3. 個人情報保護委員会への報告：要配慮個人情報の漏えいは1件でも報告義務（報告様式は個情委ウェブサイト）
4. 本人（従業員）への通知：漏えいの事実と対応状況を連絡
5. 再発防止策の策定・実施：根本原因の分析と改善措置を文書化