前回は,医療・介護・福祉の分野で,死者の個人情報について厳格な管理が求められている点を取り上げた。

 2007年4月29日付の新聞各紙では,2006年8月,奈良県大淀町の町立大淀病院で分娩中に意識不明となった妊婦が19病院に受け入れを断られた末死亡した問題に関連して,妊婦の詳細な病歴情報や診療経過が医師専用の電子掲示板経由で流出していたことが報道されている。すでに死亡している人の個人情報は,個人情報保護法の対象外だが,だからといってリスクが低いとは限らない。

 事業主体が官公庁や地方自治体であれば公務員,国家資格を要する専門職域であれば個々の専門家としての守秘義務がある。電子掲示板を提供する特定電気通信役務提供者であれば,プロバイダ責任制限法上の責任がある。地域住民の安心・安全を確保することが医療・介護・福祉の共通目標である限り,一般の人を不安に陥れるような個人情報管理体制ではおぼつかない。

 今回は,医療・介護・福祉と同様に,人間のライフサイクルに大きく関わる雇用関係の個人情報管理について,雇用主である企業の外側で起きた事件を取り上げてみたい。

労働組合にも求められる個人情報の適切な取り扱い

 2007年2月27日付の新聞各紙は,日本航空労働組合(JALFIO)が,同社の客室乗務員約7000人分の思想信条,家族関係や,容姿などに対する評価を含んだ個人情報を,本人に無断で保有していたことを伝えた。個人情報保護法の施行前,同労組は会社から客室乗務員の氏名,電話番号,所属,役職などの情報を紙の資料で受け取っていたという。

 内閣府の第20次国民生活審議会個人情報保護部会資料によると,約2万8000ある労働組合のうち,5000人を超える組合員を有する組織は95あるという(「第10回(平成18年10月25日)議事要旨」参照)。厚生労働省は「個人情報の適正な取扱いを確保するために労働組合が講ずべき措置に関する指針」で,個人情報取扱事業者に該当しない小規模の労働組合にも努力義務規定を課している。しかしながら,企業の人事コンプライアンスをチェックする立場にある労働組合で,個人情報管理の不備が表面化するケースはこれまであまり見受けられなかった。

 日本航空グループの場合,複数の労働組合が存在してきた歴史を抱えている。その上,株式移転による旧日本航空と旧日本エアシステムとの持株会社設立,グループの経営統合・再編など,経営形態も大きく変化してきた経緯がある。従って,今回の事件は特殊なケースに見えるかもしれない。だが,2007年5月の三角合併解禁などにより,M&Aや企業組織再編の活発化が見込まれる折,他の企業にとって対岸の火事で済まされなくなっている。企業文化や組織風土の変革は,情報システムの統合・再構築にも影響を及ぼす要素だから,注意が必要だ。

健康増進ブームの陰で役員解任命令を受けた健保組合

 他方,企業に勤務する従業員の健康医療情報を取扱う健康保険組合でも,考えられないような事態が発覚している。2007年4月17日,厚生労働省関東信越厚生局は,被保険者の個人情報漏えいがあったとして,健康保険法に基づき,東京屋外広告ディスプレイ健康保険組合に対し,漏えいに関与した役員の解任命令(平成19年4月17日付関厚発第0417056号)を出した。

 同組合は,2005年10月に不適切な事業運営や個人情報管理の不備などを関東信越厚生局より指摘され,業務改善命令を受けていた。報道記事によると,2006年12月に被保険者の氏名や住所が記載された被保険者資格取得届がインターネット上に掲載されていることが判明し,役員が取得届を他の被保険者に渡していたことが分かったという。

 厚生労働省は,健康保険組合や健康保険組合連合会に対して,「健康保険組合等における個人情報の適切な取扱いのためのガイドライン」で細かい規定を設けている。また,第87回で触れたように,2008年4月1日より各健康保険組合は,40歳以上の被保険者・被扶養者を対象とする,メタボリックシンドロームの予防にターゲットを当てた健診および保健指導の事業実施を控えており,さらなる個人情報管理の強化が求められている。健保事務局の職員や外部委託先だけでなく,役員レベルを対象とした周知啓蒙活動も必要なようだ。

 今回取り上げた2つのケースは,個人情報保護法の観点から見ると,従業員を雇用する企業からは独立した個人情報取扱事業者で発覚したものだ。しかし従業員は,企業,労働組合,健康保険組合のコンプライアンス活動にとって共通のステークホルダーであることを忘れてはならない。長期間保存を前提とした従業員の個人情報は,健康増進活動の推進などでメリットが大きい反面,極めてセンシティブで法務上のリスクも高い。個人情報保護法への対応に限定するのではなく,人事コンプライアンス全般の観点から,ITのメリット,デメリットを考えていく必要がありそうだ。

 次回は,マーケティング/PRの分野で起きた個人情報漏えい事件を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/