속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
개인정보보호AI 초안

호텔업 등급평가에 개인정보보호 인증 가산점 도입…2026년 하반기 시행

개인정보보호위원회가 문체부와 협력해 호텔업 등급평가 시 ISMS-P·PIMS 인증 취득 호텔에 가산점을 부여하는 제도를 도입한다. 2026년 하반기부터 시행되며 투숙객 정보보호 강화가 목적이다.

백남정 기자
입력 2026년 7월 1일·조회 61·원문 보기 ↗
단축URLhttps://privacynews.kr/s/1fdab4
호텔업 등급평가에 개인정보보호 인증 가산점 도입…2026년 하반기 시행

핵심 요약

  • 개인정보보호위원회와 문화체육관광부가 호텔업 등급평가 시 개인정보보호 관리체계 인증(ISMS-P) 취득 호텔에 가산점을 부여하는 제도를 2026년 7월 1일 발표
  • 2026년 하반기부터 시행되며, 관광숙박업소의 자율적 개인정보보호 수준 향상을 유도하는 인센티브 제도로 설계
  • 호텔업계의 투숙객 개인정보 대량 처리 특성을 고려한 선제적 보호조치로, 여권정보·신용카드 정보·CCTV 영상 등 민감한 개인정보 관리 강화 목적

주요 내용

개인정보보호위원회(위원장 송경희)는 2026년 7월 1일, 문화체육관광부와 협력하여 투숙객 개인정보보호에 앞장서는 호텔에 대해 호텔업 등급평가 시 우대하는 제도를 도입한다고 발표했다. 이번 조치는 관광숙박업소가 예약·체크인·결제 과정에서 투숙객의 성명, 연락처, 여권정보, 신용카드 정보 등 민감한 개인정보를 대량으로 처리하는 특성을 반영한 것이다.

구체적으로 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 또는 PIMS(개인정보보호 관리체계 인증)를 취득한 호텔은 문화체육관광부가 실시하는 관광숙박업 등급평가에서 가산점을 받게 된다. 호텔업 등급평가는 5성급·4성급 등 호텔의 서비스 수준을 공식적으로 인정하는 제도로, 고객 신뢰도와 직결되는 중요한 평가다. 개보위는 이번 제도를 통해 호텔업계가 시설·서비스 수준뿐 아니라 개인정보보호 수준도 함께 향상시키는 선순환 구조를 만들 것으로 기대하고 있다.

호텔업계는 최근 디지털 전환으로 모바일 체크인, 스마트룸 서비스, 고객 맞춤형 마케팅 등을 도입하면서 개인정보 처리 범위가 확대되고 있다. 특히 외국인 투숙객의 여권정보, 객실 내 IoT 기기를 통한 이용패턴 수집, CCTV를 통한 영상정보 처리 등 민감한 개인정보를 다루는 만큼 체계적인 관리체계 구축이 필수적이다. 개보위는 2026년 하반기부터 본 제도를 시행하며, 호텔업계에 인증 취득을 위한 가이드라인과 컨설팅을 제공할 예정이다.

이번 조치는 개인정보보호법 제12조(개인정보 보호 인증)정보통신망법 제47조의3(정보보호 관리체계 인증)에 근거한 것으로, 정부가 민간 자율규제를 촉진하기 위해 인센티브를 제공하는 대표적 사례다. 개보위는 향후 병원, 학원, 대형유통업 등 개인정보 집약 산업으로 유사한 인센티브 제도를 확대할 계획이라고 밝혔다.

전문가 분석

공학박사 백남정 기자는 ISMS-P 선임심사원 관점에서 이번 조치를 다음과 같이 평가했다.

"이번 제도는 단순한 행정적 우대를 넘어 호텔업계의 개인정보보호 성숙도를 실질적으로 높이는 전환점이 될 것이다. 호텔업은 PMS(Property Management System)를 통해 예약부터 퇴실까지 전 과정의 개인정보를 통합 관리하며, 특히 외국인 투숙객의 여권정보 처리는 개인정보보호법 제24조(고유식별정보 처리 제한)의 엄격한 통제를 받는다."

실무 적용 측면에서 호텔은 우선 최고경영자의 개인정보보호 책임 명문화, 전담조직(CPO) 지정, 연간 개인정보보호 계획 수립부터 시작해야 한다. ISMS-P 심사 시 중점 점검 항목은 다음과 같다.

  • 접근권한 관리: 직원별 최소권한 원칙 적용 여부
  • 영상정보처리기기 운영: 안내판 설치, 열람·파기 절차 구비 여부
  • 개인정보 국외이전 적법성: 해외 예약 플랫폼 연동 시 적법 근거 확보 여부
  • 개인정보 유출 대응체계: 24시간 모니터링 및 모의훈련 실시 여부

중소 호텔의 경우 초기 구축 비용 부담이 있으나, 한국인터넷진흥원(KISA)의 중소기업 인증 지원사업을 활용하면 컨설팅 비용의 70~90%를 지원받을 수 있다.

실무 연계 포인트

ISMS-P 심사원 체크포인트

1. 2.5.1 개인정보 수집 시 동의(ISMS-P 인증기준)

호텔은 투숙객으로부터 개인정보 수집 시 「개인정보보호법」 제15조에 따라 수집·이용 목적, 항목, 보유기간을 명확히 고지하고 동의를 받아야 한다. 체크인 시 서면 또는 전자적 방식으로 필수·선택 항목을 구분하여 동의서를 받았는지, 마케팅 목적의 선택 정보 수집 시 별도 동의를 받았는지 확인해야 한다. 심사 시에는 실제 동의서 양식, 웹사이트·모바일 앱의 동의 화면, 동의 철회 절차 구비 여부를 점검한다.

2. 2.9.1 접근권한 관리(ISMS-P 인증기준)

호텔 PMS에 대한 직원별 접근권한이 최소권한 원칙에 따라 차등 부여되어 있는지 확인해야 한다. 「개인정보보호법」 제29조(안전조치의무)에 따라 프론트 직원, 하우스키핑, 식음료부서 등 업무별로 필요한 개인정보에만 접근하도록 권한을 제한해야 한다. 퇴사자 계정 즉시 삭제, 장기 미사용 계정 정기 점검, 관리자 권한 변경 이력 로그 보관 여부도 심사 대상이다.

3. 2.8.3 개인정보 파기(ISMS-P 인증기준)

투숙객 개인정보는 「개인정보보호법」 제21조에 따라 보유기간 경과 또는 처리목적 달성 시 지체 없이 파기해야 한다. 호텔업은 세무 목적으로 국세기본법 시행령에 따라 거래 기록을 5년간 보관할 수 있으나, 마케팅 목적 정보는 동의 철회 즉시 파기가 필요하다. 파기 대상 자동 검출, 파기 이행 증적(파기 대장), 외주업체 위탁 파기 시 파기 증명서 수취 여부를 점검해야 한다.

호텔업 주요 위반 조항 및 제재

이번 제도 도입 안내에서 위반 사례가 직접 언급되지는 않았으나, 호텔업에서 발생 가능한 주요 위반 조항과 제재 수위는 다음과 같다.

  • 개인정보보호법 제15조(개인정보의 수집·이용) 위반: 투숙객 동의 없이 마케팅 목적으로 개인정보를 수집하거나, 필수·선택 정보를 구분하지 않고 일괄 동의를 받는 경우 → 과태료 3천만 원 이하(법 제75조 제2항 제3호)
  • 개인정보보호법 제24조(고유식별정보의 처리 제한) 위반: 여권번호 등 고유식별정보를 법령 근거 또는 정보주체 동의 없이 처리하는 경우 → 3년 이하 징역 또는 3천만 원 이하 벌금(법 제71조 제5호)
  • 개인정보보호법 제29조(안전조치의무) 위반: 접근권한 관리·암호화 등 기술적·관리적 보호조치 미이행으로 유출 사고가 발생한 경우 → 과태료 3천만 원 이하(법 제75조 제2항 제8호), 유출 시 손해배상 책임(법 제39조)

CPPG·ISMS-P 연계 학습 포인트

인증제도와 인센티브 연계 정책

개인정보보호법 제12조는 개인정보처리자가 자율적으로 PIMS 또는 ISMS-P 인증을 취득하도록 장려하며, 정부는 인증 취득자에게 행정적·재정적 지원을 할 수 있다. 이번 호텔업 등급평가 우대는 '인센티브를 통한 자율규제 촉진'의 대표 사례로, CPPG 시험에서는 인증제도의 법적 근거(개인정보보호법 제12조, 정보통신망법 제47조의3), 인증 유효기간(3년), 사후관리 체계를 숙지해야 한다. ISMS-P는 PIMS 대비 정보보호(기술적 보안) 영역을 포함하는 통합 인증이라는 점이 핵심이다.

개인정보 생명주기 관리와 안전조치의무

호텔업에서는 투숙객 정보의 수집-이용-보관-파기 전 과정이 개인정보 생명주기에 해당하며, 각 단계마다 개인정보보호법상 의무가 적용된다. 수집 시 제15조(적법한 수집), 이용 시 제18조(목적 외 이용 제한), 보관 시 제29조(안전조치의무), 파기 시 제21조(파기 의무)가 연계된다. ISMS-P 심사 시에는 이 생명주기가 관리체계에 반영되어 있는지, 각 단계별 책임자와 절차가 문서화되어 있는지, 실제 이행 증적(로그, 파기대장, 교육이수증)이 있는지를 종합 점검한다.

#ISMS-P#PIMS#호텔업 등급평가#개인정보보호위원회#문화체육관광부#개인정보보호법
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사