여행사·숙박업 개인정보보호법 완전 가이드

여행사와 숙박업소는 국내외 항공사·호텔·관광지와 연동하면서 여권번호, 신용카드, 건강 정보(여행자 보험), 위치 정보 등을 처리합니다. 특히 국외 이전이 업무 특성상 불가피한 영역으로, PIPA(개인정보보호법) 준수가 복잡하게 적용됩니다.

1. 여행사가 처리하는 개인정보

수집 항목과 필요성

| 항목 | 수집 목적 | 필요성 | |------|-----------|--------| | 성명(영문) | 항공·호텔 예약 | 필수 | | 여권번호·만료일 | 해외 항공 예약, 비자 신청 | 해외 여행만 필수 | | 생년월일 | 항공사 요구, 보험 가입 | 필수 | | 연락처·이메일 | 예약 확인, 긴급 연락 | 필수 | | 특별 식이 요구 | 항공사 특별식 신청 | 선택 + 민감정보 | | 건강 상태 | 여행자 보험 가입, 의료 관광 | 선택 + 민감정보 | | 신용카드 | 현지 결제, 보증금 | 직접 저장 금지 |

민감정보 처리

특별식(채식, 할랄 등)이나 건강 상태는 종교·건강 정보로서 민감정보에 해당합니다. 수집 시 명시적 별도 동의가 필요합니다.

2. 국외 이전 — 여행사의 핵심 이슈

여행사는 업무 특성상 해외 항공사·호텔·글로벌 GDS(예약 시스템)에 고객 정보를 전송합니다.

국외 이전 해당 사례

에어비앤비, 부킹닷컴, 익스피디아 등 해외 플랫폼에 예약 전달
GDS(Amadeus, Sabre, Galileo) 통해 항공 예약
해외 여행자 보험사에 고객 정보 제공
현지 가이드·운송사(해외 소재)에 참가자 명단 전달

국외 이전 의무 고지 항목

PIPA 제28조의8에 따라 국외 이전 시 다음을 고지해야 합니다.

[국외 이전 고지 예시]

이전되는 개인정보 항목: 성명(영문), 여권번호, 생년월일
이전받는 자: 대한항공, 아시아나항공, Marriott International 등
이전 국가: 여행 목적지 국가 (미국, 유럽, 동남아 등)
이전 목적: 항공 예약, 호텔 체크인 처리
이전 시기: 예약 완료 직후
보관 기간: 여행 완료 후 해당 업체 내부 방침에 따름

개인정보보호위원회 인증 국가

EU·영국 등 적정성 결정 국가로의 이전은 별도 안전장치 없이 가능합니다. 그 외 국가는 표준 계약 조항(SCC) 또는 동의 방식을 택해야 합니다.

3. 여권 정보 보관

여권번호는 PIPA 제24조의2 고유식별정보(주민번호 준용 수준)에 해당하지는 않지만, 유출 시 피해가 크므로 엄격히 관리해야 합니다.

보관 기준

| 상황 | 처리 방법 | |------|-----------| | 예약 완료 전 | 임시 보관, 예약 확정 후 불필요 시 파기 | | 여행 진행 중 | 항공·호텔 체크인까지 보관 | | 여행 완료 후 | 30일 이내 파기 원칙 | | 비자 신청 진행 중 | 비자 발급 완료 후 파기 | | 분쟁·환불 진행 중 | 해결 시까지 보관 가능 |

여권 사본 보관 금지

많은 여행사가 관행적으로 여권 사본을 사무실에 보관합니다. 여행 완료 후에도 여권 사본을 보관하는 것은 PIPA 위반입니다. 디지털 스캔본도 동일합니다.

4. 숙박업 체크인 신분증 수집

법적 근거

숙박업에서 신분증 확인 의무는 공중위생관리법 및 외국인관광 도시민박업에 따릅니다. 그러나 이 법령은 **확인(열람)**을 요구하지 사본 보관을 의무화하지 않습니다.

올바른 처리

신분증은 열람만 — 사본 촬영·복사 지양
불가피하게 사본 수집 시: 체크아웃 당일 파기
외국인 여권 번호 기록: 법령 의무 사항만 기록 후 별도 보관하지 않음

체크인 앱·키오스크

무인 체크인 키오스크에서 여권 스캔 시:

스캔된 이미지는 확인 후 즉시 삭제
클라우드 전송 없이 로컬에서만 처리 권고
키오스크 화면에 처리 방침 간략 표시

5. 여행자 보험 연계

여행사가 여행자 보험 가입을 중개하는 경우:

보험사에 고객 정보를 전달하는 것은 제3자 제공
동의서에 보험사명 명시 필수
건강 고지(기존 질병 여부 등)는 민감정보 — 별도 동의
보험 가입 미희망 고객의 정보를 보험사에 제공하는 것은 위반

6. 단체 여행 참가자 명단

패키지 여행·기업 단체 여행에서 여행사가 참가자 명단을 처리하는 방식:

B2C 개인 참가자

각 참가자가 직접 여행사에 동의하고 신청 — 일반적인 처리자 관계

B2B 기업 단체 여행

기업이 직원 명단을 여행사에 제공하는 경우:

기업(위탁자) → 여행사(수탁자) 관계
직원 개인의 동의 없이 여행사에 제공 가능 (업무 위탁)
단, 여행사는 기업으로부터 위탁받은 목적(여행 진행) 외로 직원 정보 활용 금지

7. 현지 가이드·운송사 위탁

해외 현지 협력사(가이드, 버스 회사 등)에 참가자 명단을 전달하는 경우:

국내 위탁과 동일하게 위탁 계약서 필요
해외 협력사 → 국외 이전 해당 (고지 의무)
최소 정보만 전달 (여권번호 대신 이름·국적만으로 충분한 경우)

8. 리뷰·마케팅 활용

여행 후기, 사진, 영상을 마케팅에 활용하는 경우:

고객 이름·얼굴이 포함된 후기 게시: 명시적 동의 필요
인스타그램 태그 게시물 리그램: 동의 여부 불분명 — 직접 동의 권고
만족도 설문: 마케팅 목적으로 응답자를 식별하지 않도록 설계

9. PipaGuard 여행·숙박업 지원

PipaGuard는 여행사·숙박업소의 개인정보 관리를 지원합니다.

국외 이전 고지 템플릿: 항공·호텔 예약 시 자동 표시용 고지 문구
여권 정보 파기 알림: 여행 완료 후 30일 자동 파기 안내
체크인 신분증 처리 가이드: 법령 의무와 PIPA 균형 체크리스트
단체 여행 위탁 계약서: 현지 협력사용 개인정보 위탁 조항

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

여행·숙박 업계의 PIPA 핵심은 국외 이전 고지, 여권 정보 파기, 민감정보(식이·건강) 별도 동의 세 가지입니다. 예약 플로우에서 고지·동의 구조를 한 번 올바르게 설계하면 이후 모든 예약에 자동 적용됩니다.

여행사·숙박업 개인정보보호법 완전 가이드

1. 여행사가 처리하는 개인정보

수집 항목과 필요성

민감정보 처리

특별식(채식, 할랄 등)이나 건강 상태는 종교·건강 정보로서 민감정보에 해당합니다. 수집 시 명시적 별도 동의가 필요합니다.

2. 국외 이전 — 여행사의 핵심 이슈

여행사는 업무 특성상 해외 항공사·호텔·글로벌 GDS(예약 시스템)에 고객 정보를 전송합니다.

국외 이전 해당 사례

에어비앤비, 부킹닷컴, 익스피디아 등 해외 플랫폼에 예약 전달
GDS(Amadeus, Sabre, Galileo) 통해 항공 예약
해외 여행자 보험사에 고객 정보 제공
현지 가이드·운송사(해외 소재)에 참가자 명단 전달

국외 이전 의무 고지 항목

PIPA 제28조의8에 따라 국외 이전 시 다음을 고지해야 합니다.

[국외 이전 고지 예시]

이전되는 개인정보 항목: 성명(영문), 여권번호, 생년월일
이전받는 자: 대한항공, 아시아나항공, Marriott International 등
이전 국가: 여행 목적지 국가 (미국, 유럽, 동남아 등)
이전 목적: 항공 예약, 호텔 체크인 처리
이전 시기: 예약 완료 직후
보관 기간: 여행 완료 후 해당 업체 내부 방침에 따름

개인정보보호위원회 인증 국가

EU·영국 등 적정성 결정 국가로의 이전은 별도 안전장치 없이 가능합니다. 그 외 국가는 표준 계약 조항(SCC) 또는 동의 방식을 택해야 합니다.

3. 여권 정보 보관

여권번호는 PIPA 제24조의2 고유식별정보(주민번호 준용 수준)에 해당하지는 않지만, 유출 시 피해가 크므로 엄격히 관리해야 합니다.

보관 기준

여권 사본 보관 금지

4. 숙박업 체크인 신분증 수집

법적 근거

올바른 처리

신분증은 열람만 — 사본 촬영·복사 지양
불가피하게 사본 수집 시: 체크아웃 당일 파기
외국인 여권 번호 기록: 법령 의무 사항만 기록 후 별도 보관하지 않음

체크인 앱·키오스크

무인 체크인 키오스크에서 여권 스캔 시:

스캔된 이미지는 확인 후 즉시 삭제
클라우드 전송 없이 로컬에서만 처리 권고
키오스크 화면에 처리 방침 간략 표시

5. 여행자 보험 연계

여행사가 여행자 보험 가입을 중개하는 경우:

보험사에 고객 정보를 전달하는 것은 제3자 제공
동의서에 보험사명 명시 필수
건강 고지(기존 질병 여부 등)는 민감정보 — 별도 동의
보험 가입 미희망 고객의 정보를 보험사에 제공하는 것은 위반

6. 단체 여행 참가자 명단

패키지 여행·기업 단체 여행에서 여행사가 참가자 명단을 처리하는 방식:

B2C 개인 참가자

각 참가자가 직접 여행사에 동의하고 신청 — 일반적인 처리자 관계

B2B 기업 단체 여행

기업이 직원 명단을 여행사에 제공하는 경우:

기업(위탁자) → 여행사(수탁자) 관계
직원 개인의 동의 없이 여행사에 제공 가능 (업무 위탁)
단, 여행사는 기업으로부터 위탁받은 목적(여행 진행) 외로 직원 정보 활용 금지

7. 현지 가이드·운송사 위탁

해외 현지 협력사(가이드, 버스 회사 등)에 참가자 명단을 전달하는 경우:

국내 위탁과 동일하게 위탁 계약서 필요
해외 협력사 → 국외 이전 해당 (고지 의무)
최소 정보만 전달 (여권번호 대신 이름·국적만으로 충분한 경우)

8. 리뷰·마케팅 활용

여행 후기, 사진, 영상을 마케팅에 활용하는 경우:

고객 이름·얼굴이 포함된 후기 게시: 명시적 동의 필요
인스타그램 태그 게시물 리그램: 동의 여부 불분명 — 직접 동의 권고
만족도 설문: 마케팅 목적으로 응답자를 식별하지 않도록 설계

9. PipaGuard 여행·숙박업 지원

PipaGuard는 여행사·숙박업소의 개인정보 관리를 지원합니다.

국외 이전 고지 템플릿: 항공·호텔 예약 시 자동 표시용 고지 문구
여권 정보 파기 알림: 여행 완료 후 30일 자동 파기 안내
체크인 신분증 처리 가이드: 법령 의무와 PIPA 균형 체크리스트
단체 여행 위탁 계약서: 현지 협력사용 개인정보 위탁 조항

👉 pipaguard.vercel.app에서 무료로 시작하세요.

여행사·숙박업 개인정보보호법 완전 가이드

여행사·숙박업 개인정보보호법 완전 가이드

1. 여행사가 처리하는 개인정보

수집 항목과 필요성

민감정보 처리

2. 국외 이전 — 여행사의 핵심 이슈

국외 이전 해당 사례

국외 이전 의무 고지 항목

개인정보보호위원회 인증 국가

3. 여권 정보 보관

보관 기준

여권 사본 보관 금지

4. 숙박업 체크인 신분증 수집

법적 근거

올바른 처리

체크인 앱·키오스크

5. 여행자 보험 연계

6. 단체 여행 참가자 명단

B2C 개인 참가자

B2B 기업 단체 여행

7. 현지 가이드·운송사 위탁

8. 리뷰·마케팅 활용

9. PipaGuard 여행·숙박업 지원

마치며

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

여행사·숙박업 개인정보보호법 완전 가이드

여행사·숙박업 개인정보보호법 완전 가이드

1. 여행사가 처리하는 개인정보

수집 항목과 필요성

민감정보 처리

2. 국외 이전 — 여행사의 핵심 이슈

국외 이전 해당 사례

국외 이전 의무 고지 항목

개인정보보호위원회 인증 국가

3. 여권 정보 보관

보관 기준

여권 사본 보관 금지

4. 숙박업 체크인 신분증 수집

법적 근거

올바른 처리

체크인 앱·키오스크

5. 여행자 보험 연계

6. 단체 여행 참가자 명단

B2C 개인 참가자

B2B 기업 단체 여행

7. 현지 가이드·운송사 위탁

8. 리뷰·마케팅 활용

9. PipaGuard 여행·숙박업 지원

마치며

지금 바로 PIPA 컴플라이언스 점검하기

관련 글