健康情報取扱規程とは？重要なポイントや準備しておくべきことを解説 - 開業医向けクリニック経営・開業支援サイト｜ウェブドクター

「健康情報取扱規程は対応が必須と聞いたけど、具体的にどのようにしたら良いのだろう……」という悩みを抱えていませんか？

健康情報取扱規程は、企業や団体が従業員などの健康情報を具体的にどのように取り扱うかを定めているルールやガイドラインのことを指します。

本記事では、健康情報取扱規程の重要なポイントや準備しておくべきことについて解説していきます。個人情報の取り扱いは細心の注意を払う必要があるため、健康情報取扱規程について詳しく知りたい方は参考にしてみてください。

この記事の内容

健康情報取扱規程とは？義務化しているって本当？
- 健康情報等の分類と取り扱いは3種類に分けられる
なぜ事業をするうえで健康情報取扱規程が必要？
健康情報取扱規程を策定しなかった時に罰則はある？
健康情報取扱規程の策定方法
- 労働者が50名以上の事業場の場合
- 労働者が50名未満の事業場の場合
健康情報取扱規程を運用するうえでの重要な5つのポイント
健康情報取扱規程に応じて開業医が準備しておくべきこと
まとめ：健康情報取扱規程は入念な準備をしておこう！

健康情報取扱規程とは？義務化しているって本当？

健康情報取扱規程は、従業員の健康情報をどのように取り扱うかを定めているガイドラインやルールを指します。

2019年4月の労働安全衛生法の改正により、事業者は従業員の心身の状態に関する情報を適切に取り扱うように措置を講じることを義務付けています。

そのため、健康情報取扱規程の作成は義務化されており、事業者は雇用契約を結ぶ際に同意を得るために必要な内容・書類を作成しておくことが必要です。

健康情報取扱規程で定めるべき内容は、以下の9つの事項が挙げられます。

健康情報を取り扱う目的や取扱方法
健康情報を取り扱う者の権限や取り扱う情報の範囲
目的や取り扱い方法などに関する通知方法と本人同意の取得方法
健康情報の適正管理の方法について
健康情報の開示や訂正・使用停止などの方法について
健康情報の第三者提供の方法について
事業承継や組織変更に伴う健康情報の引き継ぎについて
健康情報の取り扱いに関する苦情の処理
労働者への周知方法

（参照：「事業場における労働者の健康情報等の取扱規程を策定するための手引き」厚生労働省）

それぞれの内容について記載する必要があるため、事前に確認しておきましょう。

健康情報等の分類と取り扱いは3種類に分けられる

健康情報取扱規程は、労働者本人の同意の必要性などの健康情報の内容によって、3つの分類に分けられます。

健康情報等の分類	取り扱いの原則	具体例
労働安全衛生法に基づいて事業者が直接取り扱い、義務を履行するために必ず取り扱わなければならない健康情報	労働安全衛生法に基づいて情報収集を行い、事業者が直接取り扱う	・健康診断の受診・未受診・長時間労働の面接指導の申し出・事後処置の意見・ストレスチェックの面接指導の申し出
労働安全衛生法に基づいて事業者が労働者本人に同意を得なくても情報収集が可能ではあるが、事業場の取り扱い規程で適正な取り扱いを定めて運用する健康情報	労働安全衛生法に基づいて情報収集を行うが事業者は直接把握する必要はなく、担当者を定めて取り扱う	・健康診断の法定項目の結果・再検査の結果・長時間労働の面接指導の結果・ストレスチェックの面接指導の結果
労働安全衛生法の規程がなく労働者の同意が必要で事業場の取扱規程を策定して運用する必要がある健康情報	労働者本人の同意を得て担当者を定めて取り扱う	・健康診断の法定外の項目の結果や保健指導・再検査結果・治療と仕事の両立支援のための医師の意見書など

健康情報等の分類

取り扱いの原則

具体例

労働安全衛生法に基づいて事業者が直接取り扱い、義務を履行するために必ず取り扱わなければならない健康情報

労働安全衛生法に基づいて情報収集を行い、事業者が直接取り扱う

・健康診断の受診・未受診

・長時間労働の面接指導の申し出・事後処置の意見

・ストレスチェックの面接指導の申し出

労働安全衛生法に基づいて事業者が労働者本人に同意を得なくても情報収集が可能ではあるが、事業場の取り扱い規程で適正な取り扱いを定めて運用する健康情報

労働安全衛生法に基づいて情報収集を行うが事業者は直接把握する必要はなく、担当者を定めて取り扱う

・健康診断の法定項目の結果・再検査の結果

・長時間労働の面接指導の結果

・ストレスチェックの面接指導の結果

労働安全衛生法の規程がなく労働者の同意が必要で事業場の取扱規程を策定して運用する必要がある健康情報

労働者本人の同意を得て担当者を定めて取り扱う

・健康診断の法定外の項目の結果や保健指導・再検査結果

・治療と仕事の両立支援のための医師の意見書など

分類によって取り扱いの原則が変わってくるため、事前にしっかりと確認したうえで健康情報取扱規程を策定しましょう。

なぜ事業をするうえで健康情報取扱規程が必要？

健康情報取扱規程は、法的・倫理的・実務的の3点から必要とされています。

健康情報は「要配慮個人情報」に該当するため、取得や保存・提供に関して本人の同意や適切な管理体制の整備が法律で義務付けられています。たとえば、健康診断の結果や障害情報などを取り扱う場合は、規程を整備していないと違法になるリスクがあるため注意しましょう。

また、健康情報が漏洩または不適切な利用があった場合は、信用が失墜するほか、企業イメージの悪化につながります。さらに、行政や公的機関との取引時や助成金申請時に、情報管理体制の明示が求められるケースもあります。

そのため、健康情報取扱規程は必ず策定するようにしましょう。

健康情報取扱規程を策定しなかった時に罰則はある？

健康情報取扱規程を策定しなかった場合は、個人情報保護法の命令違反として刑事罰が科せられる可能性があります。刑事罰は、1年以下の懲役または100万円以下の罰金が科せられます（法第178条）。

最初は、労働基準監督署から是正を指導される可能性が高いですが、悪質だと判断された場合は罰則の対象になるため、気をつけるようにしてください。

（参照：個人情報保護委員会）

健康情報取扱規程の策定方法

健康情報取扱規程の策定は、労働者が50名以上か50名未満の事業所で変わってきます。それぞれどのような点を意識しながら策定する必要があるか解説していきます。

労働者が50名以上の事業場の場合

労働者が50名以上いる場合は、労働者の健康や安全を守ることを目的とした衛生委員会の設置が義務となっています。

衛生委員会とは、健康障害や労働災害の防止、健康保持増進のための取り組みを労働者と使用者が話し合うための場所です。健康情報取扱規程を策定する場として、衛生委員会を活用できます。

また、衛生委員会を統括管理する人材を一名、事業者が指名する必要があり、毎月1回以上健康保持増進や健康障害などに問題が起きていないかを話し合う必要があります。

規程を策定する際には、人事部などで原案を作成し、衛生委員会で労働者と使用者が話し合い必要であれば修正するようにしてみてください。

労働者が50名未満の事業場の場合

労働者が50名未満の場合は、衛生委員会の設置義務がないため、労働者による集会所などの場所で意見を聴取する必要があります。

また、労働者から意見を聴取する場を設けたことにより、策定した規程の有効性にも影響します。たとえば、行政や労働監督署から説明責任を問われた際に、集会所で話し合った内容は有効性のある規程と認められやすいです。

また、事前に意見聴取を行うことで合意を取りながら物事を決めていくプロセスを構築でき、将来的な労使紛争リスクを下げられます。集会所等の設置により、労働者が自由かつ率直な意見を出しやすい環境を整えられます。

集会所で意見しあった内容が規程に反映されることにより、労働者も自分たちの意見が反映されるという感覚から、労働者としての参加意識や主体性が高まりやすいです。

意見を聴取する際には、書面や音声データを残しておくのがおすすめです。

健康情報取扱規程を運用するうえでの重要な5つのポイント

健康情報取扱規程を運用するうえで重要なポイントは、以下の5つです。

院内の紙カルテや検査結果を放置しない
バックアップデータの管理先に注意する
外部業者との契約で機密保持に関する内容が入っているか
スタッフの研修が必須
スタッフから誓約書を取得しているか

それぞれのポイントについて解説していくので、参考にしてみてください。

院内の紙カルテや検査結果を放置しない

紙カルテを取り扱っている場合は、検査結果や患者のプライバシーに関する情報は放置しないようにしましょう。

院内の共有スペースまたは鍵がかかっていない場所に置いていると、情報漏洩のリスクがあげられます。情報が漏洩した際には企業としての信頼が落ちるだけでなく、大きなトラブルに発展してしまうケースも少なくありません。

紙のカルテは適切な保管場所に置き、電子カルテの場合はアクセス制限のかかった場所に保管するようにしましょう。

バックアップデータの管理先に注意する

災害やシステム障害時のリスクに備えて、バックアップデータの管理先には注意しましょう。バックアップデータをパソコンの中だけにしておくと、災害による影響でデータが壊れてしまう可能性があります。

また、バックアップデータの管理先のセキュリティが弱いと、不正アクセスや情報漏洩につながってしまう可能性があるため、細心の注意を払いましょう。たとえば、セキュリティが強化されている法人向けのクラウドストレージなどを活用すると良いでしょう。

二段階認証を有効にすることにより、ウイルス感染や不正アクセスなどから守れます。

ほかにも、暗号化機能が備わっている外付けハードディスク・SSDなどを用意しておくと、災害やシステム障害が起きても情報を保管しておくことが可能です。複数バックアップを取っておくと、万が一の事態に備えておけます。

ただし、バックアップ先が多くなるほど情報漏洩などのリスクもあるので、取扱には注意してください。

外部業者との契約で機密保持に関する内容が入っているか

規程運用をするうえで、外部業者との契約時にも注意が必要です。外部業者とのかかわりで個人情報の取扱を行う場合は、契約内容に機密保持に関する内容を必ず入れるようにしましょう。

とくに、機密保持義務の明確化や、個人情報の取り扱いに関する具体的な手段や責任分担などを明記しておくのがおすすめです。

また、事故発生時の報告義務や対応策について契約書に記しておくと、責任の所在でトラブルに発展しにくいです。

スタッフの研修が必須

医療機関のスタッフが個人情報を適切に取り扱うためにも、定期的な研修が必須です。

また、厚生労働省のガイドラインでも、従業員に対する教育研修の実施が求められています。研修の内容に関しては、個人情報保護法や関連法令に対する理解と情報漏洩防止の具体的な対策、日常的な取り扱いなどがあげられます。

一度だけでなく3ヶ月に1回や半年に1回程度を目安に研修をすると、スタッフの意識や知識が定着しやすいです。

（参照：「ガイドラインに係る主な論点について」厚生労働省）

スタッフから誓約書を取得しているか

個人情報を取り扱う可能性がある場合は、スタッフから誓約書を取得しているか確認しましょう。

たとえば、医療資格者ではない受付などのスタッフの雇用契約においても、誓約書に機密保持・情報漏洩に関する内容を入れておくのがおすすめです。

個人情報の機密保持義務や情報漏洩が発生した際の責任、退職後の機密保持義務の継続などに関する誓約書を取得していると良いでしょう。

健康情報取扱規程に応じて開業医が準備しておくべきこと

健康情報取扱規程に応じて開業医が準備しておくべきことは、以下の3つです。

健康情報取扱規程に関する教育や研修
職員用の守秘義務誓約書
個人情報保護方針の院内掲示用文書

それぞれ準備しておくべき内容を解説していきます。

健康情報取扱規程に関する教育や研修

健康情報取扱規程に備えてスタッフの教育や研修を実施するようにしましょう。たとえば、カルテや検査結果の保管先・取り扱いのほかに、誤送信・紛失・盗難などによる情報漏洩の事例や防止策などを教育研修内容に入れるのがおすすめです。

ほかにも、個人情報保護法とはどのような法律なのか、医療現場での適用例なども紹介するのも良いでしょう。半年や1年に1回以上定期研修を行うと、知識や意識が定着しやすい傾向があります。

職員用の守秘義務誓約書

規程の教育研修とあわせて、職員用の守秘義務誓約書を作成しましょう。医師や看護師だけでなく、受付・アルバイト・清掃スタッフなども含みます。

たとえば、業務内だけでなく業務外で不正な閲覧や持ち出し、漏洩の禁止または、在職中・退職後も守秘義務が続くことを記すのがおすすめです。

また、違反した場合の責任や本人署名・日付・保管期間の明記などを忘れないようにしましょう。

個人情報保護方針の院内掲示用文書

患者の個人情報がどのように取り扱われているかわかりやすいように、個人情報保護方針の院内掲示用文書を作っておくのがおすすめです。

具体的には、個人情報の利用目的や提供の方針、安全管理措置などが挙げられます。

ほかにも、お問い合わせ窓口や、第三者提供の有無と基準についても書くと良いでしょう。

まとめ：健康情報取扱規程は入念な準備をしておこう！

また、スタッフに対しては定期的に教育研修を行うと、規程に対する意識や知識が定着しやすいでしょう。

個人情報を取り扱ううえでは重要な内容なので、必ず確認して対応するようにしてみてください。