この記事でわかること
- ストレスチェックで保護すべき個人情報の範囲と要配慮個人情報の取り扱い
- 実施者と事業者の役割分担と情報アクセス権限の考え方
- 同意取得の正しいタイミング・方法と不利益取り扱いの禁止
- データの保管期間(5年間)と適切な廃棄手続き
- 情報漏洩リスクへの多層防御とプライバシー・バイ・デザインの設計指針
ストレスチェック制度の運用において、人事・総務担当者が最も神経を使うのが個人情報の取り扱いです。「誰が高ストレスだったか、上司に知られてしまうのではないか」「回答データが漏洩したらどうなるのか」といった従業員の不安は、回答率の低下や制度そのものへの不信感につながります。
本記事では、ストレスチェックにおける個人情報保護の法的要件を整理し、実務で押さえるべき具体的な対策を解説します。制度を正しく運用し、従業員の信頼を得るための指針としてご活用ください。
ストレスチェックで扱う個人情報の範囲
個人情報に該当するデータ
ストレスチェックにおいて個人情報として保護対象となるデータは、大きく3つに分類されます。
調査票の回答データ。職業性ストレス簡易調査票(57項目版)や新職業性ストレス簡易調査票(80項目版)への回答内容は、個人の心理的負担の程度を示す情報であり、要配慮個人情報に該当します。回答の有無自体も個人情報として取り扱う必要があります。
ストレスチェックの結果。ストレスプロフィール(各尺度の得点)、高ストレス者に該当するかどうかの判定結果、面接指導の要否の判定結果がこれにあたります。これらは労働安全衛生法第66条の10第2項に基づき、実施者から直接本人に通知されるものであり、本人の同意なく事業者に提供することは禁じられています。
面接指導の記録。医師による面接指導の結果、医師の意見書の内容も個人情報として保護されます。ただし、面接指導の結果に基づく医師の意見については、事業者が就業上の措置を講じるために必要な範囲で取得することが認められています。
実施者と事業者の役割分担
実施者の責務と守秘義務
ストレスチェックの実施者(医師・保健師等)は、個人情報保護の要となる存在です。実施者は調査票の回答データを直接取り扱い、ストレスの評価・高ストレス者の判定を行います。結果は実施者から本人に直接通知され、この段階では事業者は個人の結果を把握することができません。
労働安全衛生規則第52条の10では、ストレスチェックの実施事務に従事した者に対して守秘義務を課しています。違反した場合は6か月以下の懲役または50万円以下の罰金が科される可能性があります(労働安全衛生法第119条)。この罰則の存在は、ストレスチェックの個人情報保護がいかに重視されているかを示しています。
事業者が閲覧できる情報の範囲
事業者が個人のストレスチェック結果を取得できるのは、本人が同意した場合に限られます。この同意は、結果が本人に通知された後に取得する必要があり、ストレスチェックの受検前や受検時にあらかじめ包括的な同意を取ることは認められていません。
一方、集団分析の結果については、個人が特定されない形(原則10人以上の集団単位)であれば、本人の同意なく事業者が取得・活用できます。ただし、集団の人数が少なく個人が特定される恐れがある場合は、集団分析の結果であっても個人情報として取り扱う必要があります。
| 情報の種類 | 事業者の閲覧 | 必要な手続き |
|---|---|---|
| 個人のストレスチェック結果 | 本人同意がある場合のみ | 結果通知後に書面で同意取得 |
| 高ストレス者の判定結果 | 本人同意がある場合のみ | 結果通知後に書面で同意取得 |
| 面接指導の申出の有無 | 可(申出があった場合) | 申出をもって事業者に通知 |
| 面接指導の結果・医師の意見 | 可(措置に必要な範囲で) | 医師から事業者へ意見提出 |
| 集団分析結果(10人以上) | 可 | 特段の手続き不要 |
| 集団分析結果(10人未満) | 要注意 | 個人特定の恐れがないか確認 |
「せっかくストレスチェックを実施しても、個人の結果がわからなければ対策が打てないのでは」という声をよく聞きます。しかし、個人結果を事業者が直接把握しなくても、集団分析による組織課題の把握、面接指導を通じた個別対応、職場環境改善の3つを組み合わせることで、十分に効果的なメンタルヘルス対策が可能です。
同意取得の正しい手続き
同意取得のタイミングと方法
個人のストレスチェック結果を事業者に提供することについて、本人から同意を取得する際には、以下のルールを厳守する必要があります。
結果通知後の同意取得。ストレスチェックの結果が本人に通知された後でなければ、同意を取得してはいけません。受検前や受検時に「結果を会社に提供することに同意します」といった包括的な同意を取ることは、厚生労働省の指針で明確に禁じられています。結果を見たうえで、本人が判断できる状態で同意を求めることが求められます。
書面による同意。同意は書面(電磁的記録を含む)で取得することが望ましいとされています。口頭での同意は、後のトラブル防止の観点からも避けるべきです。同意書には、提供する情報の範囲、提供先、利用目的を明記します。
不同意による不利益取り扱いの禁止。同意しなかったことを理由に、労働者に対して不利益な取り扱い(解雇、雇止め、退職勧奨、配置転換、降格など)を行うことは禁止されています(労働安全衛生法第66条の10第3項)。この点は従業員に対して明確に周知しておく必要があります。
ストレスチェック制度全体の法的要件については、ストレスチェックの法的要件ガイドで詳しく解説しています。
データ保管期間と廃棄のルール
法定保存期間と廃棄手続き
ストレスチェックに関する記録の保存期間は、労働安全衛生規則第52条の12に基づき、5年間と定められています。事業者に結果が提供された場合(本人同意あり)は、事業者が5年間保存する義務を負います。本人同意がなく事業者に結果が提供されない場合は、実施者(またはその指名する実施事務従事者)が保存することになります。
保存すべき記録の範囲。検査結果の記録(受検者ごとの氏名、検査日、ストレスの程度、高ストレス者への該当の有無、面接指導の要否)、面接指導の結果の記録(対象者の氏名、面接日、医師の意見、就業上の措置に関する内容)が含まれます。
保存期間を経過した記録は、適切な方法で廃棄する必要があります。紙媒体の場合はシュレッダー処理または溶解処理、電子データの場合は復元不可能な方法での消去を行います。廃棄した記録の一覧(廃棄日、対象データの範囲)を作成しておくと、管理の透明性が確保できます。
システムでデータを管理している場合は、保存期間を過ぎたデータを自動的にアラート通知し、管理者の承認を経て削除する仕組みを組み込むと、漏れなく廃棄を実行できます。ストレスチェック完全ガイドでも、データ管理のベストプラクティスを紹介しています。
情報漏洩リスクと対策
想定されるリスクと防止策
ストレスチェックの個人情報漏洩は、従業員との信頼関係を根本から損なう重大な問題です。人的リスクとしては、実施事務従事者が個人結果を人事部門の管理職に口頭で伝えてしまう、紙の調査票を施錠できない場所に放置する、メールの誤送信で個人結果が関係のない社員に届くといったケースがあります。システムリスクとしては、アクセス権限の不備、通信の非暗号化、脆弱なパスワード、バックアップデータの管理不備などが挙げられます。
漏洩リスクを最小化するためには、組織的対策・人的対策・技術的対策を組み合わせた多層防御が必要です。
| 対策カテゴリ | 具体的な施策 | 実施のポイント |
|---|---|---|
| 組織的対策 | 個人情報取扱規程の策定 | ストレスチェック固有のルールを明記 |
| 組織的対策 | 責任者・取扱者の明確化 | 実施事務従事者を限定し文書化 |
| 人的対策 | 守秘義務の誓約書取得 | 実施事務従事者全員から取得 |
| 人的対策 | 教育・研修の実施 | 年1回以上、事例を交えて実施 |
| 技術的対策 | アクセス権限の最小化 | ロールベースのアクセス制御 |
| 技術的対策 | 通信・保存データの暗号化 | TLS1.2以上、AES-256等 |
| 技術的対策 | 監査ログの取得・保全 | 誰がいつどのデータにアクセスしたか記録 |
システム選定時には、これらのセキュリティ要件を満たしているかどうかを確認基準に含めてください。システム選定ガイドでは、セキュリティ面の評価ポイントも解説しています。
個人情報保護法との関係
要配慮個人情報としての取り扱い
ストレスチェックの結果は、個人情報保護法第2条第3項に定める「要配慮個人情報」に該当します。要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別・偏見が生じないよう特に配慮を要する情報です。ストレスチェックの結果は「健康診断等の結果」に準じるものとして要配慮個人情報に分類されます。
要配慮個人情報は、原則として本人の同意なく取得することが禁じられています。ただし、ストレスチェックは労働安全衛生法に基づく法令上の義務(または努力義務)として実施されるため、実施者が調査票の回答を取得すること自体は「法令に基づく場合」の例外に該当します。一方で、事業者が個人結果を取得する場合は、前述のとおり本人の同意が必要です。
第三者提供の制限
ストレスチェックの個人結果を、本人の同意なく第三者に提供することは、個人情報保護法第27条により原則として禁止されています。ここでいう「第三者」には、同じ社内であっても、ストレスチェックの実施事務に関与しない部署や担当者が含まれます。
グループ企業間でストレスチェックデータを共有する場合も、各法人は別の「個人情報取扱事業者」に該当するため、第三者提供のルールが適用されます。親会社が子会社のストレスチェック結果を一括管理するといった運用は、適切な同意取得または共同利用の手続きを経なければ実施できません。
フルスクラッチでストレスチェックシステムを開発する場合は、こうした法的要件をシステム設計に反映することが重要です。スクラッチ開発のガイドでは、プライバシー・バイ・デザインの考え方に基づくシステム設計を解説しています。
「ストレスチェックの個人情報管理は難しそう」と感じた方も多いかもしれません。しかし、ルールを整理すると、ポイントは「実施者と事業者の役割を分ける」「本人同意のない情報提供をしない」「データの保管と廃棄を計画的に行う」の3つに集約されます。これらをシステムの仕組みとして組み込めば、担当者の負担を大幅に軽減できます。
プライバシーを守るシステム設計のポイント
ストレスチェックの個人情報を確実に保護するには、運用ルールだけでなく、システムの設計段階からプライバシー保護を組み込む「プライバシー・バイ・デザイン」の考え方が有効です。具体的には、以下の機能要件を満たすシステムの導入・構築を検討してください。
ロールベースのアクセス制御。実施者、実施事務従事者、事業者(人事担当者)、一般従業員の4つのロールに分け、それぞれがアクセスできる情報の範囲をシステム上で厳密に制御します。人事権を持つ管理職が個人結果にアクセスできない仕組みをシステムレベルで担保することが重要です。
データの暗号化。通信経路の暗号化(TLS 1.2以上)はもちろん、データベースに保存される回答データや結果データについても暗号化(AES-256等)を施します。万が一データベースへの不正アクセスが発生しても、暗号化されたデータからは個人情報を読み取ることができません。
監査ログの自動記録。誰が、いつ、どのデータに、どのような操作(閲覧・出力・変更・削除)を行ったかを自動的に記録し、改ざんできない形で保全します。不正アクセスの早期発見だけでなく、万が一の情報漏洩時にも原因究明と影響範囲の特定が迅速に行えます。
このようなセキュリティ要件を満たすストレスチェックシステムの構築をご検討の際は、システム開発サービスのページをご覧ください。法令要件とセキュリティを両立するシステム設計をご提案します。
まとめ
- ストレスチェックの結果は要配慮個人情報に該当し、厳格な管理が求められる
- 事業者は本人の同意なく個人結果を取得できない(結果通知後の書面同意が必要)
- 実施者と事業者の役割分担を明確にし、情報アクセスの範囲を限定する
- データの保存期間は5年間。保存期間経過後は復元不可能な方法で廃棄する
- 組織的・人的・技術的対策を組み合わせた多層防御で情報漏洩を防止する
- システム設計段階からアクセス制御・暗号化・監査ログを組み込む
この記事をシェア