ホテル・旅館業におけるGDPR(EU一般データ保護規則)への対応

ホテル・旅館業におけるGDPRへの対応

悩み

GDPR(General Data Protection Regulation:EU一般データ保護規則)は、個人データの保護やEU・EEA域内のデータ処理の活性化等を目的に制定された、EU・EEAにおける個人データ保護規約です。

日本にも個人情報保護法がありますが、GDPRとは、保護される個人情報の範囲や、データ主体の権利の種類などの点で違いがあります。

GDPRはEUの規則ですが、日本を含む海外の企業にも適用される可能性があるのをご存知でしょうか

この記事では、ホテル・旅館業の方を対象に、GDPRはどのような場合に適用されるのか、違反するとどうなるのか等について解説します。

ホテル・旅館業とGDPR

2018年6月には、プリンスホテルが保有する個人情報の漏えい事件が発生し、国内初のGDPR違反事例となるのではと話題になりました。

2018年11月には、Marriott Internationalがハッカーによって予約システムから顧客データを4年にわたって抜き取られていたことが発覚し、9,900万ポンド(約133億円)の制裁金が科されました。

このようにGDPRは、EU域外の企業にも適用され、違反すると巨額の制裁金が科される可能性があるため、各国のホテル業界でGDPR対応が迫られています。

GDPRが適用される範囲

GDPRはEEA域内に管理者または処理者の拠点がある場合に適用されますが、以下の2つの場合には、EU域内に拠点がなくてもGDPRが適用されます

  1. データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品またはサービスの提供(GDPR3条2項(a))
  2. データ主体の行動がEU域内で行われるものである限り、その行動の監視(GDPR3条2項(b))

たとえば、EU域内の人から宿泊予約を受けたり、EU域内の人に商品を販売したりするような場合、GDPRが適用されます。

旅行業者からEU域内の人の予約をまとめて受ける場合も、EU域内のデータ主体の個人データを取り扱うことになるため、GDPRが適用されます。

また、現代はインターネット上で海外から簡単にアクセスできるため、インターネット上で日本人向けに予約受付をするだけでもGDPRが適用されるようにも思えますが、それだけで直ちに適用されることにはなりません。

EUの言語や通貨を使って予約や注文ができたり、EUの消費者・ユーザー向けの説明がある場合に、EU域内のデータ主体に対する物品・サービスの提供の意図が明確であるとして、GDPRが適用されることになります。

ホテル・旅館業におけるGDPR対応の注意点

GDPRの適用の有無の見極め

EU域内から直接、オンライン予約がされたり、電子メールや電話で予約がされたような場合には、GDPRが適用されます。

他方で、EU域内から来日し、その後に予約がされた場合には、情報の移転がEU法の適用外で行われていることから、原則としてGDPRが適用されません。

それでは、EU域内から予約した観光客が来日後にホテル・旅館の受付で宿泊カードに署名した場合、宿泊カードに書かれた個人情報に関してGDPRは適用されるのでしょうか?

日本国内で個人情報の移転が生じていることから、GDPRの適用がないようにも思われます。

しかし、このような場合でも、GDPRの適用がある予約情報と結びついて一体化するため、観光客の個人情報全体がGDPRの適用対象になります

海外の予約サイト事業者を利用する場合の注意点

冒頭で紹介したプリンスホテルの事案ではフランスの予約サイト事業者を利用していましたが、海外の旅行者の募集にあたって海外の予約サイト事業者を利用することは多数見受けられます。

海外の予約サイト事業者を利用する場合でも、EU域内の人の個人情報を取り扱う限りはGDPRの適用があります

そして、ホテル・旅館業者がGDPRで求められる安全管理措置をとっていると言えるためには、当該予約サイト事業者自身が十分な安全管理措置をとっていることが大前提となります。

そのため、ホテル・旅館業者としては、予約サイト事業者と取引を始める前に、その事業者が個人データをどのように取り扱っているのかを詳細に調査し、「適切な技術上及び組織上の保護措置」を実装しているかどうかを確認する必要があります。

旅行業におけるGDPR対応の注意点

GDPRの適用の有無の見極め

EU域内から直接、ツアーのオンライン予約がされたり、電子メールや電話で予約がされたような場合には、GDPRが適用されます。

EUの業者を介してツアーの予約・注文が行われ、ホテルの手配等のためにEU域内の人の個人情報が提供される場合でも、EU域内の人の個人情報を取り扱うことになるため、GDPRが適用されます。

他方で、EU域内の人であっても、来日してから日本国内でツアーの申込をする場合のように、個人情報の移転が日本国内のみで行われる場合は、GDPRの適用がありません。

大量の旅行者を相手にする場合におけるDPO選任義務

EU域内から大量の個人データを取得する場合は、データ保護オフィサー(DPO)を選任することが必要になります。

DPOとは、個人データの処理・移転に関して管理・監督する責任者の立場にある人をいいます。

DPOについては、業務遂行に関して管理者・処理者からあらゆる指図を受けないという独立性が保障されている必要があります(GDPR38条3項参照)。

また、DPOは他の業務を兼務することができますが、利益相反が禁止されているため(GDPR38条6項参照)、経営層クラスとの兼務はできません。

そして、DPOは、少なくとも以下の業務を行う必要があります(GDPR39条)。

  1. 従業員に対してGDPR及びEU加盟国のデータ保護規定による義務を通知し、助言する
  2. 取扱業務に関与する職員の責任の割り当て、意識向上、訓練、GDPR及びEU加盟国の個人データ保護規定の遵守状況の監視、個人データ保護と関連する管理者・処理者の保護方針の遵守状況の監視
  3. 要請があった場合にデータ保護影響評価に関して助言をし、遂行を監視する
  4. 監督機関と協力する
  5. 個人データの取扱いに関連する問題について監督機関の連絡先になり、協議をする

最後に

弁護士野中

多くの個人情報を取り扱う旅館・ホテル業では従来より個人情報の保護に十分に配慮する必要がありましたが、GDPRの施行により、今まで以上に慎重な対応が求められています

冒頭でご説明したとおり、GDPRに違反すると多額の制裁金が課される可能性があり、企業の存続を左右されるような事態にもなりかねません。

ホテル・旅館業における個人情報の保護についてご不明点やご相談がありましたら、お気軽に弊所にご相談ください

セカンド顧問について

お問い合わせはこちら

企業側・使用者側専門の弁護士にお任せ下さい新規予約専用ダイヤル24時間受付中!メールでの相談予約


  • Facebook
  • Hatena
  • twitter
  • Google+
PAGETOP
お問い合わせ