호텔·숙박 서비스 개인정보보호법 가이드

호텔과 숙박 시설은 투숙객의 신분증 정보, 결제 정보뿐 아니라 체크인·체크아웃 시간, 객실 서비스 요청 내역, 미니바 이용 기록까지 투숙객의 생활 패턴을 상세히 파악합니다. 최근 스마트 호텔의 IoT 기기는 수면 패턴까지 수집할 수 있어 개인정보 보호가 더욱 중요해졌습니다. 개인정보보호법(PIPA) 관점에서 숙박업 핵심 의무를 정리합니다.

1. 숙박 서비스의 개인정보 처리 범위

예약부터 체크아웃까지

| 처리 단계 | 수집 정보 | 민감도 | |---------|---------|------| | 온라인 예약 | 이름, 연락처, 결제 정보, 특이 요청 | 높음 | | 체크인 | 신분증(주민등록증·여권), 차량번호 | 높음 | | 신용카드 사전 승인 | 카드번호, 한도 선점 | 높음 | | 객실 이용 | 체크인·아웃 시간, 미니바, 서비스 이력 | 중간 | | IoT·스마트 기기 | 조명·온도 설정, 수면 패턴 | 높음 | | 피트니스·부대시설 | 이용 시간, 이용 내역 | 낮음 | | 식음료 (F&B) | 주문 이력, 알레르기 요청 | 중간 |

2. 신분증 확인과 처리

공중위생관리법상 신분증 확인 의무와 PIPA

숙박업자는 공중위생관리법에 따라 투숙객 신원 확인 의무가 있습니다. 그러나 신분증 정보의 수집 범위는 최소화해야 합니다.

신분증 처리 원칙:

허용:
✅ 신분증으로 성명·생년월일 확인 (신원 확인 목적)
✅ 외국인 투숙객 여권번호 기재 (관광진흥법 의무)
✅ 법인 예약 시 담당자 명함 수집

금지 또는 주의:
❌ 주민등록번호 전체를 기록·저장 (법적 의무 범위 초과)
❌ 신분증 전면 복사본 보관 (확인 후 반환 원칙)
❌ 신분증 사진 촬영 후 시스템 업로드 (최소화 원칙 위반)

외국인 여권 기재 의무: 관광진흥법은 외국인 투숙객의 여권번호 기재를 의무화합니다. 이는 법적 근거가 있는 수집이므로 PIPA 예외가 인정됩니다. 다만 수집한 여권번호는 관광 통계 목적 외로 활용할 수 없습니다.

3. 객실 내 IoT·스마트 기기

스마트 호텔의 개인정보 리스크

스마트 TV, AI 스피커, 스마트 조명, 수면 분석 기기 등 객실 내 IoT 기기는 투숙객의 행동 데이터를 수집합니다.

객실 IoT 데이터 처리 기준:

| IoT 기기 | 수집 데이터 | 처리 원칙 | |---------|---------|---------| | 스마트 TV | 시청 채널, 시청 시간 | 체크아웃 후 즉시 파기 | | AI 스피커 | 음성 명령 기록 | 체크아웃 후 즉시 파기 | | 스마트 조명·온도 | 이용 패턴 | 서비스 개선 후 파기 | | 수면 분석 매트 | 수면 패턴, 심박수 | 별도 동의 필수 | | 도어락 접근 기록 | 입출입 시각 | 체크아웃 후 30일 |

AI 스피커 음성 처리 주의: 객실 내 AI 스피커가 음성을 서버로 전송하는 경우, 이는 투숙객의 대화 내용이 녹음되는 것과 다름없습니다. 반드시 처리방침에 명시하고 투숙객이 거부할 수 있는 방법(기기 비활성화 옵션)을 제공해야 합니다.

4. 신용카드 사전 승인(Pre-authorization)

카드 정보의 처리 기준

체크인 시 미니바·부가 서비스 비용 대비 신용카드를 사전 승인하는 관행은 PIPA상 주의가 필요합니다.

사전 승인 처리 원칙:

사전 승인 금액과 목적을 투숙객에게 명확히 고지
카드 정보를 직접 저장 금지 → PG사 토큰 방식 사용
체크아웃 완료 후 사전 승인 즉시 해제
카드 번호 전체를 직원이 열람 가능한 시스템에 저장 금지

5. 예약 플랫폼 연계

야놀자·여기어때·에어비앤비와의 정보 흐름

예약 플랫폼을 통해 들어온 예약의 경우, 플랫폼과 숙박 시설 간 개인정보 이전이 발생합니다.

플랫폼 연계 처리 원칙:

| 구분 | 처리 원칙 | |-----|---------| | 플랫폼→숙박 시설 정보 이전 | 투숙객에게 플랫폼 처리방침으로 고지 | | 숙박 시설의 정보 활용 | 해당 투숙 서비스 목적으로만 사용 | | 투숙 완료 후 연락 | 플랫폼 외 채널로 직접 연락 시 동의 필요 | | 직접 예약 유도 | 플랫폼 TOS 위반이자 정보 목적 외 사용 |

에어비앤비 호스트의 의무: 개인 호스트도 게스트의 개인정보를 처리하므로 PIPA 적용을 받습니다. 소규모 운영이라도 게스트 연락처, 신분증 정보를 수집하는 경우 최소한의 처리 원칙을 준수해야 합니다.

6. CCTV와 투숙객 프라이버시

숙박 시설 CCTV 운영 기준

CCTV 설치 가능·불가 구역:

| 구역 | 설치 가능 여부 | |-----|------------| | 로비·프런트 | 가능 (안내판 필수) | | 복도·엘리베이터 | 가능 (안내판 필수) | | 주차장 | 가능 (안내판 필수) | | 수영장·피트니스 공용 공간 | 조건부 가능 (탈의 구역 제외) | | 객실 내부 | 절대 금지 | | 화장실·욕실 | 절대 금지 | | 탈의실 | 절대 금지 |

몰카·불법 촬영 예방: 숙박업자는 불법 촬영 기기 설치를 방지할 의무가 있습니다. 정기적인 객실 점검 및 투숙객 신고 채널 운영이 권장됩니다.

7. 투숙객 정보 파기

퇴실 후 보관이 필요한 정보와 파기 대상

체크아웃 후 처리 기준:

| 정보 유형 | 처리 기준 | |---------|---------| | 신분증 확인 기록 | 체크아웃 후 30일 내 파기 | | 객실 IoT 이용 데이터 | 체크아웃 즉시 파기 | | 결제 이력 | 5년 보관 (세법 의무) | | 예약·투숙 이력 | 1년 보관 (분쟁 대비) | | 마케팅 재방문 유도 | 별도 동의 기반만 보관 |

8. 개인정보처리방침 숙박 서비스 특화 항목

# 개인정보처리방침 (○○호텔)

## 수집 항목 및 목적

**투숙객:**
- 항목: 이름, 연락처, 신분증 확인 (성명·생년월일), 결제 정보
- 목적: 예약 확인, 체크인 처리, 결제
- 보관: 체크아웃 후 1년

**외국인 투숙객:**
- 항목: 여권번호 (관광진흥법 의무)
- 보관: 체크아웃 후 1년

**객실 IoT 데이터:**
- 항목: 스마트 기기 이용 기록
- 보관: 체크아웃 즉시 파기

## CCTV
로비·복도·주차장 운영. 30일 보관. 시설 안전 목적.
객실 내부 CCTV 미운영.

9. PipaGuard로 숙박 서비스 컴플라이언스 관리

PipaGuard 지원 기능:

호텔·숙박 서비스 맞춤 개인정보처리방침 생성
객실 IoT 기기 데이터 처리 가이드
예약 플랫폼 연계 개인정보 처리 절차
CCTV 안내판 문구 생성
투숙객 정보 파기 스케줄 체크리스트

무료로 시작하기: pipaguard.vercel.app

체크리스트: 호텔·숙박 서비스 PIPA 필수 점검

[ ] 신분증 확인 후 복사본 보관 금지 — 성명·생년월일만 기록
[ ] 외국인 여권번호 수집 관광진흥법 의무 근거 명시
[ ] 객실 IoT 기기 체크아웃 시 데이터 자동 초기화 설정
[ ] AI 스피커 음성 처리 사실 처리방침 고지 및 비활성화 옵션 제공
[ ] 신용카드 PG사 토큰 방식 사용 (직접 저장 금지)
[ ] 객실 내부 CCTV 없음 정기 점검
[ ] 체크아웃 후 IoT 데이터 즉시 파기 프로세스 수립
[ ] 예약 플랫폼 연계 정보 활용 투숙 서비스 목적으로만 제한
[ ] CCTV 안내판 로비·복도·주차장 설치
[ ] 개인정보처리방침 객실 내 비치 및 홈페이지 공개

자주 묻는 질문

Q. 경찰이 특정 투숙객 정보를 요청하면 제공해야 하나요?

A. 법원 영장 또는 수사기관의 적법한 공문(수사협조 요청서)이 있는 경우 제공 가능합니다. 구두 요청만으로는 제공 의무가 없으며, 적법한 절차를 안내해야 합니다. 제공 시 해당 투숙객에게 통지하는 것이 원칙이나, 수사 목적상 통지가 금지된 경우 예외가 인정됩니다.

Q. 장기 투숙 고객의 투숙 이력을 마케팅에 활용해도 되나요?

A. 투숙 이력을 재방문 할인 제공, 맞춤 서비스 추천 등 마케팅에 활용하려면 별도의 마케팅 동의가 필요합니다. 체크인 시 또는 회원 가입 시 "투숙 이력 기반 맞춤 서비스 동의" 선택지를 별도로 제공하는 것이 권장됩니다.

Q. 에어비앤비 호스트로서 게스트 신분증을 확인하고 사진을 찍어 보관해도 되나요?

A. 게스트 신분증 사진을 직접 보관하는 것은 PIPA상 최소화 원칙에 반합니다. 신원 확인이 필요하다면 에어비앤비 플랫폼의 신원 인증 기능을 활용하는 것이 권장됩니다. 직접 신분증을 확인해야 한다면 성명과 생년월일만 메모하고, 사진 촬영·복사는 하지 않는 것이 원칙입니다.

호텔은 투숙객이 가장 사적인 휴식을 취하는 공간입니다. 그 사적인 공간에서 수집되는 정보를 신중하게 다루는 것이 품격 있는 호텔의 기본 서비스입니다. PipaGuard로 숙박 업소 PIPA 컴플라이언스를 지금 점검하세요.

호텔·숙박 서비스 개인정보보호법 가이드

1. 숙박 서비스의 개인정보 처리 범위

예약부터 체크아웃까지

2. 신분증 확인과 처리

공중위생관리법상 신분증 확인 의무와 PIPA

숙박업자는 공중위생관리법에 따라 투숙객 신원 확인 의무가 있습니다. 그러나 신분증 정보의 수집 범위는 최소화해야 합니다.

신분증 처리 원칙:

허용:
✅ 신분증으로 성명·생년월일 확인 (신원 확인 목적)
✅ 외국인 투숙객 여권번호 기재 (관광진흥법 의무)
✅ 법인 예약 시 담당자 명함 수집

금지 또는 주의:
❌ 주민등록번호 전체를 기록·저장 (법적 의무 범위 초과)
❌ 신분증 전면 복사본 보관 (확인 후 반환 원칙)
❌ 신분증 사진 촬영 후 시스템 업로드 (최소화 원칙 위반)

3. 객실 내 IoT·스마트 기기

스마트 호텔의 개인정보 리스크

스마트 TV, AI 스피커, 스마트 조명, 수면 분석 기기 등 객실 내 IoT 기기는 투숙객의 행동 데이터를 수집합니다.

객실 IoT 데이터 처리 기준:

4. 신용카드 사전 승인(Pre-authorization)

카드 정보의 처리 기준

체크인 시 미니바·부가 서비스 비용 대비 신용카드를 사전 승인하는 관행은 PIPA상 주의가 필요합니다.

사전 승인 처리 원칙:

사전 승인 금액과 목적을 투숙객에게 명확히 고지
카드 정보를 직접 저장 금지 → PG사 토큰 방식 사용
체크아웃 완료 후 사전 승인 즉시 해제
카드 번호 전체를 직원이 열람 가능한 시스템에 저장 금지

5. 예약 플랫폼 연계

야놀자·여기어때·에어비앤비와의 정보 흐름

예약 플랫폼을 통해 들어온 예약의 경우, 플랫폼과 숙박 시설 간 개인정보 이전이 발생합니다.

플랫폼 연계 처리 원칙:

6. CCTV와 투숙객 프라이버시

숙박 시설 CCTV 운영 기준

CCTV 설치 가능·불가 구역:

몰카·불법 촬영 예방: 숙박업자는 불법 촬영 기기 설치를 방지할 의무가 있습니다. 정기적인 객실 점검 및 투숙객 신고 채널 운영이 권장됩니다.

7. 투숙객 정보 파기

퇴실 후 보관이 필요한 정보와 파기 대상

체크아웃 후 처리 기준:

8. 개인정보처리방침 숙박 서비스 특화 항목

# 개인정보처리방침 (○○호텔)

## 수집 항목 및 목적

**투숙객:**
- 항목: 이름, 연락처, 신분증 확인 (성명·생년월일), 결제 정보
- 목적: 예약 확인, 체크인 처리, 결제
- 보관: 체크아웃 후 1년

**외국인 투숙객:**
- 항목: 여권번호 (관광진흥법 의무)
- 보관: 체크아웃 후 1년

**객실 IoT 데이터:**
- 항목: 스마트 기기 이용 기록
- 보관: 체크아웃 즉시 파기

## CCTV
로비·복도·주차장 운영. 30일 보관. 시설 안전 목적.
객실 내부 CCTV 미운영.

9. PipaGuard로 숙박 서비스 컴플라이언스 관리

PipaGuard 지원 기능:

호텔·숙박 서비스 맞춤 개인정보처리방침 생성
객실 IoT 기기 데이터 처리 가이드
예약 플랫폼 연계 개인정보 처리 절차
CCTV 안내판 문구 생성
투숙객 정보 파기 스케줄 체크리스트

무료로 시작하기: pipaguard.vercel.app

체크리스트: 호텔·숙박 서비스 PIPA 필수 점검

[ ] 신분증 확인 후 복사본 보관 금지 — 성명·생년월일만 기록
[ ] 외국인 여권번호 수집 관광진흥법 의무 근거 명시
[ ] 객실 IoT 기기 체크아웃 시 데이터 자동 초기화 설정
[ ] AI 스피커 음성 처리 사실 처리방침 고지 및 비활성화 옵션 제공
[ ] 신용카드 PG사 토큰 방식 사용 (직접 저장 금지)
[ ] 객실 내부 CCTV 없음 정기 점검
[ ] 체크아웃 후 IoT 데이터 즉시 파기 프로세스 수립
[ ] 예약 플랫폼 연계 정보 활용 투숙 서비스 목적으로만 제한
[ ] CCTV 안내판 로비·복도·주차장 설치
[ ] 개인정보처리방침 객실 내 비치 및 홈페이지 공개

자주 묻는 질문

Q. 경찰이 특정 투숙객 정보를 요청하면 제공해야 하나요?

Q. 장기 투숙 고객의 투숙 이력을 마케팅에 활용해도 되나요?

Q. 에어비앤비 호스트로서 게스트 신분증을 확인하고 사진을 찍어 보관해도 되나요?

호텔·숙박 서비스 개인정보보호법 가이드: 투숙객 정보부터 객실 이용 기록까지

호텔·숙박 서비스 개인정보보호법 가이드

1. 숙박 서비스의 개인정보 처리 범위

예약부터 체크아웃까지

2. 신분증 확인과 처리

공중위생관리법상 신분증 확인 의무와 PIPA

3. 객실 내 IoT·스마트 기기

스마트 호텔의 개인정보 리스크

4. 신용카드 사전 승인(Pre-authorization)

카드 정보의 처리 기준

5. 예약 플랫폼 연계

야놀자·여기어때·에어비앤비와의 정보 흐름

6. CCTV와 투숙객 프라이버시

숙박 시설 CCTV 운영 기준

7. 투숙객 정보 파기

퇴실 후 보관이 필요한 정보와 파기 대상

8. 개인정보처리방침 숙박 서비스 특화 항목

9. PipaGuard로 숙박 서비스 컴플라이언스 관리

체크리스트: 호텔·숙박 서비스 PIPA 필수 점검

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

호텔·숙박 서비스 개인정보보호법 가이드: 투숙객 정보부터 객실 이용 기록까지

호텔·숙박 서비스 개인정보보호법 가이드

1. 숙박 서비스의 개인정보 처리 범위

예약부터 체크아웃까지

2. 신분증 확인과 처리

공중위생관리법상 신분증 확인 의무와 PIPA

3. 객실 내 IoT·스마트 기기

스마트 호텔의 개인정보 리스크

4. 신용카드 사전 승인(Pre-authorization)

카드 정보의 처리 기준

5. 예약 플랫폼 연계

야놀자·여기어때·에어비앤비와의 정보 흐름

6. CCTV와 투숙객 프라이버시

숙박 시설 CCTV 운영 기준

7. 투숙객 정보 파기

퇴실 후 보관이 필요한 정보와 파기 대상

8. 개인정보처리방침 숙박 서비스 특화 항목

9. PipaGuard로 숙박 서비스 컴플라이언스 관리

체크리스트: 호텔·숙박 서비스 PIPA 필수 점검

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글