ヘルステックビジネスお悩み相談室(1)

ヘルステックビジネスお悩み相談室(1)

執筆(担当弁護士):弁護士 鈴木景弁護士 早崎智久

 

企業内に蓄積されている従業員の健康に関するデータ(健康診断に関するデータや、部署単位で実施したストレスチェックに関するデータ、労働時間に関するデータや、上司との面談の結果などのデータ)を、弊社のクラウドサーバーに一括して保存し弊社のサービス上で表示することにより、企業における従業員の健康管理を容易にするサービスを検討しているのですが、このようなサービスを行う場合、法務の観点ではどのような点に気を付けた方がいいでしょうか?

 

<回答>

取得するデータが要配慮個人情報に該当する場合には、本人の同意が必要となりますので、取得するデータと、取得の際の手続について整理することが必要です。

 

 

<解説>

1.健康に関する個人のデータ

前記サービスでは、個人の健康に関するデータをサーバー上に保管することになりますが、保管する情報によっては、個人情報保護法上の「要配慮個人情報」に該当する可能性があります。

要配慮個人情報とは、「本人の人種、心情、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」をいいます。

そして、個人の健康診断の結果や、ストレスチェックの結果は、個人情報保護法施行令により、要配慮個人情報に該当するとされています。

そのため、個人を特定できる形でこれらのデータを取得することは、要配慮個人情報の取得に該当することとなります。

 

2.要配慮個人情報に該当するデータを取得する場合に必要な措置

(1)データの取得時

取得するデータが要配慮個人情報に該当する場合、その取得にあたっては、原則として本人の同意が必要とされています。

本人が直接サーバーにアップロードする場合には、本人自身のアップロードによって本人の同意があったものと考えられますので、それ以上に同意を取得するためのフローは必要ないものと考えられます。

他方で、これらの情報を、本人以外の第三者、例えば、所属している企業などから取得する際には、本人の同意を取得するためのフローを構築する必要があります。

 

(2)データの提供時

例えば、前記サービスにおいて、個人が特定できないように加工してサーバーに保管することも考えられます。

この場合、サーバーに保管された情報は、個人を特定するための情報とは紐づかずに管理されることになるため、要配慮個人情報には該当しないと考えられます。

しかし一方で、これらの情報を企業など、個人と紐づけて管理する第三者が当該データを提供する場合、データの提供側では注意が必要です。

この場合、データの提供側にとっては、データを個人と切り離したとしても、それが提供側において他の個人情報と容易に照合可能である場合にはなお、個人情報に該当することになり、これを第三者に提供することは個人情報の第三者提供に該当します。

そのため、データの提供側においては、当該データを第三者に提供することについて、本人の同意を得ることが必要となります。

 

このように、取り扱うデータがセンシティブなデータであるが故に、その取得や提供に要する手続について、データの性質と合わせて整理することが必要です。

 

 

ヘルステックのサービス詳細はこちら