バイオコミュニケーションズ株式会社
Dr.Kohnoの産業医ワンポイント!

『河野慶三コラム』産業医の方へ

第8回 コンプライアンス

 コンプライアンスを、ここでは法令を遵守することと定義する。 その中核となるのは、「守秘義務」「プライバシーの保護」「個人情報管理」である。3つの項目には相互に重なっている部分があるが、その内容はそれぞれ異なっているので、きちんと分けて理解することが必要である。

 法令を遵守するには、関係法令の知識が必要である。産業医にとって、労働契約法、労働基準法とその関連法、労働者災害補償保険法、労働安全衛生法の基礎知識をもつことは必須であり、精神保健福祉法とその関連法および障害者雇用促進法とその関連法の知識も必要になってきた。

1.守秘義務

 守秘義務は、業務上あるいは職務上知りえた秘密を他に漏らさないようにすることである。

 法令上の規定としては、刑法第134条の「秘密を侵す罪」の条文が広く知られている。その第1項の規定は、「医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人、又はこれらの職にあった者が、正当な理由がないのに、その業務上知りえた人の秘密を漏らしたときは、6月以下の懲役又は10万円以下の罰金に処する」である。歯科医師の記述はないが、医師に準ずるとされている。助産師がその対象となっているのに対し、保健師、看護師は対象外である。その第2項は、宗教、祈祷若しくは祭祀の職にある者またはこれらの職にあった者に対する同様の規定である。

 労働安全衛生法は第104条で、健康診断、ストレスチェック、面接指導の実施の事務に従事した者は、その実施に関して知り得た労働者の秘密を漏らしてはならないことを定め、違反者には6か月以下の懲役または50万円以下の罰金を科している。

 国家公務員、地方公務員、それに保健師・看護師・診療放射線技師・理学療法士などの国家資格保有医療従事者には、それぞれの法令で守秘義務が課されている。

 こうした刑事罰を伴う法令上の規定とは別に、労働契約や委任契約などを締結した当事者がこれらの契約にもとづいて負う民事上の守秘義務がある。この場合は、被害を受けた者が、注意義務違反や債務不履行を理由として民事の損害賠償請求訴訟を起こすことができる。

 秘密を漏らすことの正当な理由の例としては、対象者に自傷・他害のおそれがあること、重大な不法行為のおそれがあることなどがあげられるが、正当であるかどうかは、あくまでも個別に、実情に即して判断しなければならない。換言すれば、この判断には説明責任が付随しているということである。

2.プライバシーの保護

 プライバシーは、1890年にアメリカで提唱されたた概念で、「個人的な事象の秘密を守る“right to be let alone”」権利のことであるとされてきた。当時の新聞のゴシップ報道の行き過ぎに対して、人には人権としてプライバシー権があることが主張され、それが定着したものであった。

 日本国憲法で保障された、「身体の自由」や「思想、良心の自由(内心の自由)」、刑法の「住居を侵す罪」、「秘密を侵す罪」、「名誉に対する罪」、「信用および業務に対する罪」、私信などを著作で公開することの著作権法の制限、肖像権の保護などが、この意味でのプライバシーの保護にかかわることがらである。

 ところが、1970年代に入って急速に進んだコンピューターによる高度情報化が背景となって、人には「自己情報のコントロール権」すなわち、「自分の情報がどう扱われているかを知り自分の情報を自分でコントロールする権利」があるとする考えが広まった。現在のプライバシー保護の具体的内容は、自己情報のコントロール権(もちろん、この中には個人的な事象の秘密を守ることが含まれている)を守ることであるといってよい。したがって、守秘義務とプライバシー保護との関係は、前者は後者のための社会的な約束事のひとつであるということになる。

 1980年に出たOECD(経済協力開発機構)のガイドラインは、こうした動きに大きな影響を与えた。このガイドラインは、プライバシー保護の具体的な内容について、表に示した8項目をあげている。

3.個人情報管理

 個人情報の管理とは、「自己情報のコントロール権」を守るために必要な行為を明示し、それを実行することである。わが国では、OECDの勧告から23年経過した2003年に「個人情報の保護に関する法律」(平成15年法律第57号:個人情報保護法)が制定され、2005年に施行された。個人情報保護法は、個人情報の保護に関する基本的な理念および民間事業者に対する規制について定めた法律である。国の行政機関と独立行政法人に対する規制についてはそれぞれ別の法律が制定されており、地方公共団体は条例で規制することになっている。

 その後、2015年の大幅改正で、法律の目的に「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」が追加され、2017年5月30日に全面施行された。これによって、取扱う個人情報の数が5,000人以下である事業者もすべて規制の対象となった。なお、この法律の所管官庁は「個人情報保護委員会」である。

 改正された個人情報保護法については、すでに人事総務向けの第4回で取り上げているので、そちらを参照されたい。

(この小論は、河野慶三:コンプライアンスと倫理。産業カウンセリング、日本産業カウンセラー協会、2017、728〜734ページの記述の一部に加筆修正したものである)

表 OECD(経済協力開発機構)の「プライバシー保護と個人データの 国際流通についてのガイドライン」

1)収集制限の原則

いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめまたは同意を得たうえで収集されるべきである。

2)データ内容の原則

個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり最新なものに保たれなければならない。

3)目的明確化の原則

個人データの収集目的は、収集時よりも遅くない時点において明確化されなければならず、その後のデータの利用は、当該収集目的の達成または当該収集目的に矛盾しないでかつ、目的の変更ごとに明確化された他の目的の達成に限定されるべきである。

4)利用制限の原則

個人データは、原則3)により明確化された目的以外の目的のために開示利用その他の使用に供されるべきではないが、つぎの場合はこの限りではない。
  1. データ主体の同意がある場合
  2. 法律の規定による場合

5)安全保護の原則

個人データは、その紛失もしくは不当なアクセス、破壊、使用、修正、開示などの危険に対し、合理的な安全保護措置により保護されなければならない。

6)公開の原則

個人データに係わる開発、運用および政策については、一般的な公開の政策がとられなければならない。個人データの存在、性質およびその主要な利用目的とともにデータ管理者の識別、通常の住所をはっきりさせるための手段が容易に利用できなければならない。

7)個人参加の原則

個人はつぎの権利を有する。
  1. データ管理者が自己に関するデータを有しているか否かについて、データ管理者またはその他の者から確認を得ること
  2. 自己に関するデータを、
    @合理的な期間内に
    Aもし必要なら、過度にならない費用で
    B合理的な方法で
    C自己にわかりやすい形
    で自己に知らしめられること。
  3. 上記a. またはb.の要求が拒否された場合には、その理由が与えられることおよびそのような拒否に対して異議を申立てることができること。
  4. 自己に関するデータに対して異議を申立てること、およびその異議が認められた場合には、そのデータを消去、修正、完全化、補正させること。

8)責任の原則

データ管理者は、上記の諸原則を実施するための措置に従う責任を有する。
 
 
製品・サービスに関するお問合わせはこちらへ
プライバシーマーク