숙박예약앱 이용이 대중화되고 PMS, RMS 이용이 늘어나면서 고객정보는 점차 데이터화되어 관리되고 있다. 하지만 숙박업 경영자가 확보한 고객정보라고 해도 함부로 활용하거나 외부에 노출할 경우 행정처분 또는 형사처벌의 대상이 될 수 있다. 이번 칼럼을 통해서는 숙박업 경영자가 주의해야 할 개인정보보호법에 대해 살펴본다. <편집자 주>

개인정보 보호 개요
숙박업소에서 고객에 대한 효율적 대응과 마케팅을 위해서는 고객의 정보 확인과 유지, 관리가 필수적인 요소입니다. 성명, 연락처 등의 기본 정보와 더불어 신용카드 관련정보와 여권번호 등의 내한 외국인 관련 사항, 기타 차량번호나 생일, 기념일 등을 확인하고 적절한 시점에 고객 대응 업무에 이용하게 됩니다.

이러한 고객 정보는 사업장별 관리 방침에 따라, 고객관리프로그램(숙박운영시스템), 문서관리 프로그램, 웹호스팅 서비스의 이용, 담당자 휴대폰 및 메모와 같은 수기문서 관리 등으로 관리 방법이 구분될 수 있습니다. 2019년 6월 개인정보보호법이 개정되면서, 숙박업소 등의 여행 관련 사업장에 대한 고객 개인정보관리의무가 요구되어지고 있습니다.

개인정보보호법
개인정보란 살아있는 개인에 관련 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 식별할 수 있는 정보를 말합니다. 개인정보 침해로 인해, 개인에게는 정신적 피해와 명의도용, 보이스피싱 등의 범죄 노출 가능성이 높아지고, 기업에게는 이미지 실추, 손해배상 등의 경영상 문제를 일으키며 국가적으로는 전자정부 신뢰성 하락, 국가브랜드 하락 등을 가져오게 됩니다. 한국인터넷진흥원에서 발표된, 개인정보보호 필수 조치사항은 다음과 같습니다.

- 개인정보는 필수정보만 최소한으로 수집하고, 추가적인 정보수집 시 동의 필요
- 주민등록번호 등의 고유 식별번호, 종료, 건강 등의 민감 정보 원칙적 처리 금지
- 수집한 목적과 다르게 사용하거나 제3자 제공 금지 및 개인정보 처리 방침 공개
- 내부관리 계획, 방화벽, 백신, 접근 통제 등의 안전성 확보
- 개인정보 이용이 끝난 후에는 반드시 파기(서비스 기간 경과 등)
- 개인정보 유출시 즉시 정보 주체에게 통보
- CCTV에는 반드시 안내판 설치

숙박업소에서의 고객 정보 관리
고객 정보를 적법하고 효율적으로 관리하기 위해서는 다음과 같은 2가지 관점에서 정보관리를 위한 계획을 수립하고 실행해야 합니다.

(1)수집되는 고객 정보의 범위와 폐기 규정의 수립 및 실행
개인정보는 성명, 전화번호, 이메일, 거주지, 차량번호 등의 일반정보와 주민등록번호, 신용카드 번호, 유효기간, 여권번호, 생년월일, 종교, 건강정보 등의 민감 정보로 구분됩니다. 숙박사업장에서는 투숙을 위한 고객 기본 정보와 더불어 내, 외국인 여권번호, 결제를 위한 신용카드 번호가 주요 관리 대상이며, 고객의 퇴실이후 업무 관련성에 따라 불필요한 정보는 폐기되어야 합니다. 주민등록번호는 수집 금지 대상이므로 관리 대상 자체에서 제외되며, 퇴실시점에는 여권정보, 차량 정보 등은 폐기되어야 하고, 신용카드 정보는 고객의 사후 클레임 등의 정산 문제 발생을 고려하여 규정된 기간 이후에 폐기하는 것이 일반적입니다. 각 사업장별 여건을 고려하여, 수집하는 고객 정보의 범위와 폐기 시한에 대한 규정을 미리 정의하는 것이 주요하며, 관리 규정은 홈페이지 또는 고객 투숙카드 등에 고지되어야 합니다. 특히 홈페이지를 운영하는 사업장의 경우 회원가입 규정 및 개인정보보호정책의 공시, 회원 탈퇴시의 개인 정보파기 규정 보유 및 실행 준수에 관심을 가지셔야 할 것입니다.

(2) 운영 중인 고객 정보의 관리 방식과 폐기를 위한 절차 수행
수집되는 고객 정보의 범위와 폐기 절차 규정에 대한 준수와 통제에 대한 사안입니다. 개인정보보호법에는 고객정보의 관리 방법을, A.고객관리프로그램(숙박운영시스템), (B)문서관리프로그램(워드, 엑셀 등), (C)포털 예약 및 판매몰 입점 등의 웹호스팅 이용, (D)수기관리 등으로 구분하고 있습니다.

웹호스팅 입점의 경우 해당 포털사이트의 관리 규정을 준수하여야 하며, 문서관리프로그램이나 수기문서 관리는 개인이나 조직이 스스로 규정을 준수하고 통제해야하며 모든 처리 절차를 별도로 기록해야하는 것이므로 보다 세심한 문서 작업이 필요합니다. 단, 개인적 기록이므로 본 설명에서는 논외로 하겠습니다. 일반적인 숙박사업장의 경우 고객관리프로그램으로 지칭되는 숙박운영시스템(PMS 또는 RMS)으로 관리되고 있습니다.

시스템을 통한 고객의 예약, 투숙, 정산, 관리 업무를 위해서는 아래와 같은 개인 정보 안전성 확보 규정 준수가 필요합니다.

- 접속기록 관리: 고객정보가 포함된 예약, 투숙 정보에 접근하기 위한 로그인 기록에 대한 사항입니다. 로그인한 접속기록의 보유, 1년이상의 보관, 근무시간외 또는 호텔외 지역에서의 접속 여부나 접속 시간에 대한 기록 등이 관리되어져야 합니다.

- 접근통제 관리: 고객정보 보관 시설에 대한 방화벽, 이용자 단말기(컴퓨터)와 고객정보 보관 시설 간 암호화 기능 적용, 일정시간 미사용시의 자동 차단 등에 대한 사항입니다. 특히, 숙박운영시스템 또는 홈페이지 예약화면의 “SSL 보안레이어” 적용은 필수적입니다.

- 개인정보 암호화: 접속 비밀번호의 일방향 암호화 적용 여부.(SHA256 이상) 여권번호, 신용카드 번호와 같은 개인 식별 정보에 대한 데이터 암호화 알고리즘 적용 여부에 대한 사항입니다. 데이터는 확인이 불가능한 형태의 코드로 변경되어 보관되어야 합니다.

- 접근권한 관리: 직원 계정별 권한 부여, 변경, 말소 내역에 대한 기록 최소 3년 보관, 비밀번호 5회 오류시의 자동 통제 기능 및 잠금 해제를 위한 통제 절차 보유 여부, 비밀번호 작성 규칙 준수 여부에 대한 사항입니다. 숙박운영시스템 이용시, 해당 시스템에서 제공되는 기능을 준수하시면 됩니다.

위에 기술한 내용을 요약하면, 고객 정보 수집에 대한 항목을 정하고, 홈페이지나 고객카드에 공시하여야 하며, 수집된 정보가 관리되는 숙박운영시스템이나 컴퓨터내의 각종 문서에 대한 비밀번호 적용, 시스템 이용시 주요 데이터에 대한 암호화 적용 여부의 검토를 진행하셔야 하고, 고객의 퇴실 후, 보관되어 있는 고객의 개인정보에 대한 폐기 규정에 따른 폐기 절차의 수행이 진행되어야 합니다.

이와 더불어, 보안의식 고취 등에 대한 전 직원 대상의 교육은 필수적인 사항입니다. 특히, 고객 개인정보의 폐기와 관련하여, 퇴실 시점 및 퇴실 후 일정 기간 경과 시의 폐기 업무 수행은 많은 시간이 투입될 수 있는 업무이므로, 숙박운영시스템 등 이용하시는 운영시스템의 개인정보 보호 규정 준수 기능 제공 여부와 암호화 기능, 데이터 자동 폐기 기능 등을 확인하시고, 필요한 조치를 진행하셔야 할 것입니다.

최근 서울 주요 지역의 숙박업소에 대한 개인정보보호 규정 준수 여부와 개인정보 손해배상 책임 가입에 대해, 지역 자치 단체나 관련 협회에서의 점검이 진행되고 있으며, 사안의 중요성으로 인해 점차 확대될 것으로 생각됩니다. 자체적인 점검이나 전문 업체의 컨설팅과 더불어, ‘개인정보보호 종합포털(https://www.privacy.go.kr)’에서 제공하는 ‘개인정보 보호조치 진단’을 직접 해보시고, 여러분 사업장의 개인정보보호 규정 준수에 대한 자체 점검과 함께 필요한 준비를 진행하시길 바랍니다.

※외부 필자의 원고는 본지의 편집 방향과 일치하지 않을 수 있습니다.

 

 

박기현 대표 / 주식회사 루넷
(현) 창업·중소기업포털(Expertbank) IT기술상담위원
연세대 경영대학원, 정보시스템감사사(CISA),
IT거버넌스전문가(CGEIT)
동원엔터프라이즈, LG-CNS 근무, 루넷재팬 한국지사장 역임
2008년 호텔운영시스템 소프트웨어 임대서비스 국내 최초 오픈
2013년 호텔운영시스템 클라우드 웹서비스 국내 최초 오픈

저작권자 © 숙박매거진 무단전재 및 재배포 금지 www.sukbakmagazine.com