Q.宿泊事業者にとって個人情報保護法はなぜ重要か?

宿泊事業者は、宿泊者の氏名・住所・連絡先・パスポート番号等の個人情報を日常的に取得・保管します。これらは旅館業法第6条で取得・保存が義務づけられた法定情報であると同時に、個人情報保護法上の「個人情報」「個人データ」にも該当します。つまり「取得・保存しなければならない」と「適切に管理しなければならない」が同時に課される構造です。

2022年4月1日に全面施行された改正個人情報保護法は、漏えい時の報告・通知義務、本人の利用停止請求権の拡大、ペナルティの大幅強化など、宿泊事業者の実務に直結する変更を含みます。とりわけ訪日外国人比率の高い施設では、海外OTA連携・海外グループ会社との情報共有が「越境移転」に該当するため、追加の同意取得・契約整備が必要になりました。

POINT.本稿の解釈は一般論であり、具体的な適否は個人情報保護委員会のガイドラインまたは弁護士・専門家へご確認ください。

Q.条文の原文は?

宿泊台帳に関係する主要条文は2つあります。旅館業法第6条(宿泊者名簿)と、個情法第26条(漏えい等の報告等)です。

第6条 旅館業法
営業者は、厚生労働省令の定めるところにより、宿泊者名簿を備え、これに宿泊者の氏名、住所、職業その他厚生労働省令で定める事項を記載し、都道府県知事の要求があつたときは、これを提出しなければならない。
出典: e-Gov法令検索 / 旅館業法

厚生労働省令(旅館業法施行規則第4条の2)で「宿泊者の氏名、住所、職業、宿泊日」が必須記載事項とされており、外国人宿泊者については追加で「国籍、旅券番号」を記載することが定められています。さらに、厚労省通知により旅券の写し(コピー)を6か月間保管することが求められます(2005年厚労省通知、2018年改正)。

第26条 個人情報保護法
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であつて個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

前項に規定する場合には、個人情報取扱事業者(中略)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。
出典: e-Gov法令検索 / 個人情報の保護に関する法律

個情委規則では「漏えい等の発生を知った後、速やか(概ね3〜5日以内)に速報、おおむね30日以内(不正アクセス等は60日以内)に確報」と運用されています(個情委ガイドライン 2024年改訂版)。

Q.対象となる事業者と取得情報の範囲は?

個人情報保護法は、個人情報データベース等を事業の用に供している全事業者(規模を問わず)を対象とします。2017年改正で「5,000人以下適用除外」が撤廃されたため、客室数3室の小規模民泊でも個情法は適用されます。

条文規制内容主な施行日
第17条 利用目的の特定 ― 「宿泊サービス提供のため」では不十分。具体的に列挙 2017年5月30日
第21条 取得時の利用目的の通知・公表 ― ウェブサイトのプライバシーポリシー掲載が一般的 2017年5月30日
第23条 安全管理措置 ― 組織的・人的・物理的・技術的の4分野 2017年5月30日
第26条 漏えい等の報告・本人通知義務化(改正で新設) 2022年4月1日
第27条 第三者提供の制限 ― OTA・グループ会社への提供は同意 or 例外規定 2017年5月30日
第28条 外国にある第三者への提供 ― 越境移転規制(同意+情報提供) 2022年4月1日
第33条 本人の開示請求 ― 電磁的方法による開示も可(改正で拡大) 2022年4月1日
第35条 本人の利用停止・消去請求権の拡大(改正で「権利侵害のおそれ」要件追加) 2022年4月1日

取得情報のカテゴリ別整理

宿泊事業者が日常取得する情報を、個情法上の分類で整理すると次のようになります。

  • 個人情報: 氏名、住所、電話番号、メール、生年月日 ― ほぼ全宿泊者が該当
  • 個人データ: 上記をPMS・台帳に体系的に整理した時点で該当
  • 保有個人データ: 6か月超保有する個人データ。開示請求等の対象
  • 要配慮個人情報: 病歴、宗教、人種等。アレルギー対応等で取得する場合は本人同意が必須
  • 個人識別符号: 旅券番号、運転免許証番号等。これだけで個人情報に該当
注意.朝食でのアレルギー対応で「卵アレルギーの方」と聞き取った情報は要配慮個人情報です。同意なく取得すると違反。予約フォーム等で「アレルギー情報の取得・利用に同意する」のチェックを入れる運用が必要です。

Q.具体的な適用例は?

ケース 01
プライバシーポリシー掲載済
公式サイトに「予約管理・宿泊サービス提供・問い合わせ対応のため」等の利用目的を明示。OTAからの予約も自社サイト経由とみなして同様に表示。
適合
ケース 02
海外OTAへ会員情報を共有(同意なし)
グループ系列の海外OTAに、過去宿泊者リストを販促目的で送信。本人同意・越境移転の情報提供なし。
違反
ケース 03
PMS委託先のサーバーが海外
利用するクラウドPMSのデータセンターが米国所在。委託扱いだが、海外提供の整理が未実施。
要確認
ケース 04
宿泊カード紛失
フロントで集めた宿泊カード5名分が紛失。氏名・住所・電話番号・パスポート番号を含む。
違反
ケース 05
アレルギー情報の同意取得
予約フォームに「食事制限・アレルギー情報の取得・利用に同意する」チェック欄を設置。
適合
ケース 06
旅券コピーを電子保管 1年
外国人パスポートコピーをPMSにスキャン保存し、1年後に自動削除。厚労省通知の6か月超保管。
要確認

ケース 06は厳密には違反ではありませんが、「利用目的達成後は遅滞なく消去するよう努めなければならない」(個情法第22条)に反する可能性があります。実務では「滞在後6か月で旅券コピーは削除、宿泊者名簿本体は3年保管」が穏当です。

Q.違反した場合のリスクは?

個情法違反に対する措置は段階的です。罰則額・営業停止・ブランド毀損の三重インパクトを経営目線で確認してください。

  1. 個情委による報告徴収・立入検査(第146条): 漏えい等が発生した場合、まず事業者から事実関係を聴取
  2. 指導・助言(第147条): 軽微な違反は行政指導で改善促す
  3. 勧告(第148条第1項): 重大な違反のおそれがある場合
  4. 命令(第148条第2項・第3項): 勧告に従わない場合の措置命令
  5. 公表(第148条第4項): 命令違反は社名公表
  6. 罰則(第178条〜第180条): 命令違反は1年以下の懲役または100万円以下の罰金、法人は1億円以下の罰金
注意.2020年改正で法人重科が創設されました。個人(代表者・担当役員等)への罰金は最大100万円ですが、法人に対しては最大1億円となります。これに加えて営業停止処分・OTA掲載停止・メディア報道によるブランド毀損・損害賠償請求まで考えると、経営インパクトは罰金額を大きく上回ります。

2022年改正で追加されたペナルティ・運用

  • 漏えい等の報告義務違反: 速やかな個情委報告(概ね3〜5日)・本人通知の遅延も処分対象
  • 越境移転の情報提供義務違反: 海外移転先国の個情制度・移転先の措置の情報を本人へ提供しない場合
  • 不適正利用の禁止違反: 違法・不当な行為を助長する個人情報利用(第19条)
  • 仮名加工情報の取扱違反: 識別行為の禁止違反等

実際の摘発事例では、宿泊業界でも2020年代以降、PMSへの不正アクセスによる宿泊者情報漏えい事案が複数発生しており、いずれも個情委への報告と本人通知が必要でした。訪日客比率が高い施設では、中国個人情報保護法(PIPL)・EU GDPR等の域外適用にも留意が必要です。

Q.自社の適合状況をどう確認する?

プライバシーポリシーを公式サイトに掲載し、利用目的を具体的に列挙している
YES
予約フォーム・宿泊カードに、利用目的の明示または同意取得欄がある
YES
宿泊者名簿(電子・紙)を施錠管理し、アクセス権限を限定している
YES
PMSやチャネルマネージャー(海外サーバ)への提供を「委託 / 越境移転」のいずれで整理しているか把握している
要確認
漏えい時の対応フロー(社内連絡 → 個情委報告 → 本人通知)を文書化している
要確認
外国人旅券コピーの保管期間を6か月以内で運用している
YES
アレルギー情報・宗教情報等の要配慮個人情報を取得する際、本人同意を取得している
対象外
本人からの開示・訂正・利用停止請求の窓口と手続を定めている
YES
実務層への行動リスト
個情法・旅館業法 二重規制への対応 10の手順
やることいつまでに担当
プライバシーポリシーの利用目的を具体的に列挙し直し、越境移転先国(米国・中国等)を明記今期内総務・法務
宿泊者名簿(旅館業法第6条)3年保管・旅券コピー6か月保管のSOPを文書化今期内フロント・総務
漏えい時の個情委報告72時間フロー(速報→確報→本人通知)を整備し、弁護士窓口を契約今期内総務・経営企画
安全管理措置の4分野(組織的・人的・物理的・技術的)の点検記録を作成年1回総務・IT
OTA・PMS・決済代行との契約書に個人情報取扱い条項・漏えい通知・再委託制限を追加契約更新時経営企画・法務
海外クラウドPMS・海外OTA連携は越境移転同意フォーム+移転先国情報を整備今期内IT・法務
要配慮個人情報(アレルギー・宗教・疾病)の取得時同意チェック欄を予約フォームに追加次回サイト改修時予約・IT
従業員研修(年1回以上)の実施と研修記録の3年保管年1回総務・人事
紙の宿泊カード・パスポートコピーの廃棄はシュレッダーまたは溶解処理で記録廃棄時フロント・経理
開示・訂正・利用停止請求の窓口担当と手続を明記し、プライバシーポリシーに掲載今期内総務・法務

Q.OTA・PMS連携は「第三者提供」「委託」「共同利用」「越境移転」のどれに該当するか?

宿泊事業者が日常運用するシステム連携は、個情法上で4類型のいずれかに整理する必要があります。判定を誤ると同意取得不備や情報提供漏れで違反になります。

1. 第三者提供(原則)

取得した個人データを第三者(自社以外)に渡すことは、原則として本人の同意が必要です(第27条第1項)。ただし、以下の例外規定で同意なく提供できます。

  • 法令に基づく場合(警察からの捜査関係事項照会、保健所からの感染症対応要請等)
  • 人の生命・身体・財産の保護のため緊急性がある場合
  • オプトアウト方式の届出をしている場合(宿泊事業ではほぼ使わない)

2. 委託(同意不要)

「個人データの取扱いの全部又は一部を委託する」場合は、第三者提供に該当せず本人同意は不要です(第27条第5項第1号)。代わりに、委託先の監督義務(第25条)が課されます。

委託の典型例: PMS(プロパティ・マネジメント・システム)、コールセンター、メールマガジン配信、入金代行(決済代行)、印刷会社等。委託契約書に「個人情報の取扱い」「漏えい時の通知」「再委託の制限」等の条項を入れることが実務必須です。

3. 共同利用(同意不要)

グループ内で個人データを共同利用する場合、事前に「共同利用する旨」「共同利用される項目」「共同利用者の範囲」「利用目的」「責任者」を本人に通知 or 公表すれば、第三者提供に該当しません(第27条第5項第3号)。

共同利用の典型例: ホテルチェーンの本社・各施設間で宿泊データを共有、グループ系列の旅行会社・OTAへの提供等。プライバシーポリシーへの明記が一般的です。

4. 越境移転(2022年改正で要件強化)

海外にある第三者(委託先含む)に個人データを提供する場合、本人の同意が必要です(第28条)。同意取得時には移転先国の個人情報保護制度・移転先が講じる措置等の情報提供も必要になりました(2022年改正)。

例外:

  • 移転先国がEU・英国(個情委が指定する「同等水準国」)
  • 移転先が「OECD基準等の体制を整備している」と契約等で担保(基準適合体制)
POINT.クラウドPMSやチャネルマネージャーがAWSやGoogle Cloudの海外リージョンを使う場合、その国名と保護制度の概要を本人へ情報提供する必要があります。プライバシーポリシーに「米国・欧州・アジアの安全保護措置」を明記する例が増えています。中国PIPL・韓国PIPA等の域外適用がある国の顧客データを扱う場合は、現地法令への準拠も追加確認が必要です。

4類型の判定フロー(実務目安)

  1. 提供先は自社か? → YES: そもそも提供ではない / NO: 次へ
  2. 提供先は海外か? → YES: 越境移転(第28条) / NO: 次へ
  3. 業務委託契約に基づくか? → YES: 委託(同意不要、監督義務) / NO: 次へ
  4. 事前公表で共同利用しているか? → YES: 共同利用(同意不要、公表必須) / NO: 第三者提供(同意必須)

Q.よくある質問

Q.宿泊者名簿の「3年保管」と個情法の「速やかな消去」はどちらが優先?
A.旅館業法第6条による保存義務(3年)が優先されます。法令に基づく義務を履行するため、その期間中は個情法の「速やかな消去」(第22条)の対象外と整理されます。3年経過後は遅滞なく削除することが望ましい運用です。
Q.パスポートコピーの保管期間は6か月で大丈夫?
A.厚労省通知では「滞在期間中はもとより、写しを取った日から起算して6か月以上保管」とされています。「6か月」は最低期間で、上限は明示されていません。ただし個情法上の「利用目的達成後は遅滞なく消去」の観点から、6か月〜1年程度での運用が一般的です。
Q.民泊(住宅宿泊事業)も同じ義務?
A.住宅宿泊事業法第8条で宿泊者名簿の備付け義務が課されており、内容(氏名・住所・職業・国籍・旅券番号)は旅館業法とほぼ同じです。個情法も民泊事業者に等しく適用されます。詳細は 旅館業法と民泊新法の違い をご覧ください。
Q.漏えい等の「速やか」「概ね3〜5日」「30日以内」の使い分けは?
A.個情委ガイドラインでは、漏えい発生を知った後、まず速やか(概ね3〜5日以内)に「速報」を提出。事実関係調査が完了次第、原則30日以内(不正アクセス等は60日以内)に「確報」を提出する運用です。本人通知は確報と並行で速やかに行います。
Q.漏えいの「人数」によって報告義務に違いは?
A.人数閾値はありません。改正前(2022年3月以前)は1,000人超で報告対象でしたが、現行制度では1人でも個情委規則第7条に該当(要配慮個人情報・財産的被害のおそれ・不正アクセス・1,000人超のいずれか)する場合は報告義務が生じます。宿泊者名簿は「1,000人超」要件にかかりやすく、また旅券番号は「不正利用のおそれ」が高いため、ほぼ全件で報告対象になると考えるのが安全です。
Q.改正旅館業法(令和5年)との関係は?
A.2023年改正旅館業法は感染症対応・カスハラ対策が中心で、個人情報の取扱い自体は変更されていません。ただし、特定感染症の蔓延防止のための情報共有要請が増える可能性があり、個情法上の「法令に基づく場合」例外規定の整理が改めて重要になります。詳細は 2023年改正旅館業法の実務影響 をご覧ください。