「お客様の電話番号を教えてほしい」── 問い合わせにどう答えるか
ある日のフロントに、忘れ物を届けたいという方から電話が入りました。「昨日チェックアウトされた田中様の連絡先を教えてもらえますか」。善意の問い合わせですが、ここで宿泊者の電話番号を伝えてしまうと、個人情報保護法に抵触する可能性があります。
宿泊施設のフロント業務では、毎日大量の個人情報を扱っています。氏名、住所、電話番号、パスポート番号、クレジットカード情報。これらの情報を正しく取り扱うためのルールを、個人情報保護法の条文に沿って整理します。
宿泊施設が扱う「個人情報」の範囲
個人情報保護法における「個人情報」とは、生存する個人に関する情報で、特定の個人を識別できるものです(法第2条第1項)。宿泊施設が日常的に取得する情報のほとんどがこれに該当します。
フロントで取得する主な個人情報
- 宿泊者名簿(宿泊カード)に記載される氏名・住所・職業・国籍
- 予約時に取得する電話番号・メールアドレス
- クレジットカード番号・有効期限
- 外国人宿泊者のパスポート番号・国籍
- 会員プログラムの利用履歴・宿泊履歴
- 防犯カメラの映像(個人を識別できる場合)
要配慮個人情報に注意
2017年改正で導入された「要配慮個人情報」(法第2条第3項)は、本人の同意なく取得することが原則禁止されています。宿泊施設においては、車椅子利用やアレルギー情報がこれに該当する可能性があります。
利用目的の明示 ── 何のために聞くのかを伝える
個人情報保護法第21条は、個人情報を取得する場合、あらかじめその利用目的を公表するか、取得後速やかに本人に通知または公表することを求めています。
宿泊施設で一般的な利用目的は以下のとおりです。
- 宿泊サービスの提供およびそれに付随する業務のため
- 旅館業法に基づく宿泊者名簿の作成・保管のため
- 緊急連絡(災害・事故等)のため
- 請求・精算業務のため
- 施設のサービス改善・マーケティングのため(会員向けDM送付等)
利用目的の掲示文例
【個人情報の取り扱いについて】 当施設では、以下の目的でお客様の個人情報を取得・利用いたします。 1. 宿泊サービスのご提供および関連するご連絡 2. 旅館業法に基づく宿泊者名簿の作成 3. ご精算・経理処理 4. 緊急時のご連絡 5. 当施設からのご案内(ご希望の場合のみ) 上記以外の目的で利用する場合は、別途お客様の同意を得た上で行います。
利用目的は「できる限り特定」する必要があります(法第17条)。「業務遂行のため」のような曖昧な記載は不十分です。具体的にどのような業務に使うのかを列挙してください。
第三者提供の制限 ── 誰に教えていいのか
個人情報保護法第27条は、本人の同意なく個人データを第三者に提供することを原則禁止しています。冒頭の忘れ物の事例のように、善意であっても宿泊者の連絡先を外部の人に教えることは、この規定に違反します。
例外として第三者提供が認められるケース
- 法令に基づく場合:警察からの捜査関係事項照会(刑事訴訟法第197条第2項)、保健所からの感染症調査など
- 人の生命・身体・財産の保護に必要で、本人の同意を得ることが困難な場合:急病の宿泊者について医療機関に情報を提供するケースなど
- 公衆衛生の向上・児童の健全育成に必要で、本人の同意を得ることが困難な場合
忘れ物の問い合わせへの正しい対応
宿泊者の連絡先を問い合わせ者に教えるのではなく、施設側から宿泊者に連絡を取り、忘れ物がある旨を伝えます。宿泊者自身が受け取り方法を決められるようにするのが適切な対応です。
警察からの照会への対応
捜査関係事項照会書(刑事訴訟法第197条第2項)による照会は、法令に基づく第三者提供に該当するため、原則として回答義務があります。ただし、口頭での照会や名刺提示のみの場合は、書面の提出を求めてから対応する方が安全です。
宿泊カード(レジストレーションカード)の取り扱い
旅館業法第6条は、宿泊者名簿の備え付けを義務付けています。この名簿は個人情報の塊であり、保管・廃棄の方法にも注意が必要です。
保管に関するルール
- 旅館業法施行規則では、宿泊者名簿の保存期間は3年間と定められている
- 保管中は施錠できるキャビネットまたはアクセス制限のあるシステムで管理する
- デジタル化する場合も、アクセス権限を設定し、操作ログを取得できる状態にしておく
廃棄に関するルール
- 保存期間経過後は、シュレッダーによる裁断またはデータの完全消去で廃棄する
- 外部業者に廃棄を委託する場合は、委託先の管理体制を確認し、契約書に守秘義務を明記する
PMSやクラウドサービスと個人情報
多くの施設がPMS(宿泊管理システム)やクラウド型予約管理サービスを利用していますが、これらのサービスに宿泊者データを保管することは、個人情報保護法上の「委託」に該当します。
委託先の管理義務
個人情報保護法第25条は、個人データの取り扱いを委託する場合、委託先に対する必要かつ適切な監督を行うことを求めています。具体的には以下の対応が必要です。
- 委託先のセキュリティ体制(暗号化、アクセス制御、バックアップ等)を確認する
- 委託契約に、個人データの取り扱い範囲・安全管理措置・再委託の制限・事故時の報告義務を明記する
- 定期的に委託先の運用状況を確認する
海外クラウドサービスの利用
2022年4月施行の改正法では、外国にある第三者への個人データ提供に関する規制が強化されました。海外にサーバーを置くクラウドサービスを利用する場合、移転先の国・地域の個人情報保護制度について本人に情報提供する義務があります(法第28条)。
フロントスタッフの日常対応で気をつけること
カウンターでの会話
チェックイン時に氏名や部屋番号を大きな声で読み上げると、周囲の人に個人情報が聞こえてしまいます。混雑時は特に、書面やタブレットで確認するなど、音声での情報伝達を最小限にする工夫が有効です。
電話での問い合わせ対応
「田中様はご宿泊されていますか?」という問い合わせに対して、宿泊の有無を回答すること自体が個人情報の提供に該当します。基本方針として、宿泊の有無を含め、電話での照会には回答しないとするのが安全です。ただし、同行者や家族からの緊急連絡と判断される場合は、施設側から宿泊者の客室に取り次ぐ形で対応します。
SNSやクチコミへの返信
OTAのクチコミやSNSへの返信で、宿泊者の氏名・滞在日・部屋タイプ等を記載すると、個人情報の公開に該当する場合があります。返信は「お客様」等の一般的な呼称を使い、個人を特定できる情報を含めないようにします。
漏洩が発生した場合の対応
2022年4月の改正法施行により、一定の要件に該当する個人データの漏洩等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました(法第26条)。
報告が必要なケース
- 要配慮個人情報の漏洩
- 不正アクセスによる漏洩のおそれ
- 財産的被害が生じるおそれがある漏洩(クレジットカード情報等)
- 1,000人を超える漏洩
報告の期限
- 速報:事態を知ってから概ね3〜5日以内に個人情報保護委員会へ
- 確報:30日以内(不正アクセスの場合は60日以内)に詳細報告
個人情報保護コンプライアンス・チェックリスト
- 個人情報の利用目的をフロント・公式サイト・予約確認メールで明示しているか
- 宿泊カードの保管場所が施錠可能か、デジタルの場合はアクセス権限を設定しているか
- 第三者提供のルール(電話照会への対応方針等)がスタッフ間で共有されているか
- PMS・クラウドサービスの委託契約に個人データの取り扱い条項が含まれているか
- パスポートコピーの保管・廃棄ルールが明確か
- クレジットカード情報の取り扱いがPCI DSSに準拠しているか
- 漏洩発生時の報告フロー(社内連絡→委員会報告→本人通知)が整備されているか
- スタッフに対する個人情報保護の研修を定期的に実施しているか
まとめ:「聞けること」と「教えられること」を分けて考える
フロント業務における個人情報の取り扱いは、大きく2つの軸で整理できます。「どこまで聞いていいのか」(取得の範囲と利用目的の特定)と、「誰に教えていいのか」(第三者提供の制限)です。
旅館業法で義務付けられた情報の取得は適法ですが、それ以上の情報を取得する場合は利用目的を明示し、必要に応じて同意を得る必要があります。取得した情報は、法令に基づく場合を除き、本人の同意なく第三者に提供できません。
この2つの原則を全スタッフが理解し、日常業務の中で自然に実践できる体制を整えることが、ゲストの信頼を守る基盤になります。