旅行業は顧客の氏名・住所・生年月日・クレジットカード情報・パスポート番号・健康状態など、特に機微性の高い個人情報を大量に取り扱う業種です。観光庁の登録旅行業者は個人情報保護法に基づく「個人情報取扱事業者」として法律上の義務を負うとともに、旅行業法第11条の3が定める管理業務においても顧客情報の適切な管理が求められます。本記事では旅行業における個人情報保護の法的根拠、旅行業者が守るべき義務の全容、2022年個人情報保護法改正の旅行業への影響、そして旅行業務取扱管理者試験での関連論点を体系的に解説します。
旅行業における個人情報保護の法的根拠
個人情報保護法の旅行業への適用
個人情報の保護に関する法律(以下「個人情報保護法」)は2003年に制定され、個人情報を取り扱うすべての事業者に適用されます。2017年の全面施行以降は規模の小さい事業者も含め、すべての個人情報取扱事業者が法の対象となりました。旅行業者は旅行契約の締結・履行にあたって旅行者の個人情報を必然的に取得するため、個人情報保護法の義務を遵守しなければなりません。
旅行業者が取り扱う個人情報には、旅行契約に必要な基本情報(氏名・住所・電話番号・メールアドレス・生年月日・性別)のほか、海外旅行では旅券(パスポート)番号・国籍・ビザ情報が加わります。さらに団体旅行では職場名・役職、健康上の配慮が必要な旅行者の場合は持病・アレルギー・服薬情報など、いわゆる「要配慮個人情報」に該当する情報を取得するケースもあります。個人情報保護法は「要配慮個人情報」に対して通常の個人情報より厳格な取り扱いを求めており、原則として本人の明示的な同意なしに取得できません。
旅行業法と個人情報保護法の接点
旅行業法第11条の3が定める旅行業務取扱管理者の管理業務9項目の第9項には「契約締結の年月日・契約の相手方その他の契約の内容に係る重要な事項についての明確な記録又は関係書類の保管に関する事項」が規定されています。この保管義務は個人情報保護法の安全管理措置義務と表裏一体であり、旅行業者は旅行業法が求める記録保管と個人情報保護法が求める安全管理を同時に満たす体制を整備する必要があります。
また旅行業法第12条の10が禁ずる誇大広告・不正勧誘には、顧客情報の不正利用(個人情報を本人の同意なしにマーケティングに流用するなど)も実質的に該当する場合があります。旅行業務取扱管理者は旅行業法・標準旅行業約款の遵守とあわせて、個人情報保護法を含む関連法令全体を俯瞰した管理体制を構築することが求められます。旅行業務取扱管理者試験の旅行業法科目では個人情報保護法そのものは直接の出題範囲ではありませんが、管理業務第9項(記録・保管義務)と個人情報管理の実務的な関連を理解しておくことが体系的な知識の定着につながります。
旅行業者が取り扱う個人情報の種類と管理義務
旅行者から取得する個人情報の範囲
旅行業者が取得する個人情報の範囲は旅行の種類(国内・海外・日帰り・宿泊等)や旅行者の属性によって異なります。国内旅行の場合は氏名・連絡先・年齢区分・支払情報(クレジットカード番号等)が中心ですが、海外旅行では旅券番号・有効期限・旅券発行地・国籍・ビザ情報など出入国に必要な情報が追加されます。ツアー参加者に食事制限やアレルギーがある場合はその情報も取得します。
旅行業者はこれらの個人情報を、①旅行契約の締結・履行、②旅行代金の決済処理、③旅行サービス提供者(宿泊施設・航空会社・現地ランドオペレーター等)への情報提供、④事後のアフターサービスや問い合わせ対応、⑤自社サービスの改善・マーケティングなど複数の目的で利用します。個人情報保護法は「利用目的の特定」を事業者に義務付けており、取得時に利用目的を特定・明示しなければなりません。特定した利用目的の範囲を超えて個人情報を利用することは原則として禁止されています。
個人情報取得時の通知・公表義務
旅行業者が旅行者から個人情報を取得する際は、利用目的をできる限り特定したうえで、書面(契約書・申込書)や自社ウェブサイトのプライバシーポリシーを通じて旅行者に通知または公表しなければなりません。口頭での申し込みや電話予約の場合も利用目的を口頭で告知することが必要です。直接取得ではなく旅行会社間での顧客情報の受け渡しや代理店経由での情報取得の場合も、個人情報保護法の規定に従った適正な取り扱いが求められます。
旅行業者の予約システム・顧客管理システムに保管される個人情報は、外部からの不正アクセス・情報漏えいのリスクにさらされています。個人情報保護法第23条(安全管理措置)は個人情報取扱事業者に対して、取り扱う個人データの漏えい・滅失・毀損の防止のために必要かつ適切な安全管理措置を講じることを義務付けています。個人情報保護委員会のガイドラインでは「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4分野で具体的な措置を講じることが求められています。
要配慮個人情報の取り扱いとリスク
個人情報保護法第2条第3項が定める「要配慮個人情報」とは、不当な差別・偏見・その他の不利益が生じないよう特に慎重に取り扱うべき情報であり、病歴・身体障害・精神障害・知的障害・犯罪歴・被犯罪歴・健康診断の結果などが該当します。旅行業においては、車いす対応の手配や食事制限(宗教上の理由・アレルギー等)のために旅行者の健康情報や宗教情報を取得する場面があり、これらが要配慮個人情報に相当する場合があります。
要配慮個人情報の取得には原則として本人の明示的な同意が必要であり、黙示の同意や推定による取得は認められません。旅行業者が申込書の「特記事項」欄に健康情報の記載を求める場合や、宗教上の食事制限を確認する場合は、「この情報は旅行サービスの手配のみに使用し、第三者に提供しません」という明確な説明と同意取得を行う必要があります。要配慮個人情報の漏えいが発生した場合は通常の個人情報漏えいより重大な法的リスクが生じるため、特別な安全管理体制の整備が求められます。
個人情報保護法の2022年改正と旅行業への影響
2022年改正の主要ポイント
2022年4月に全面施行された改正個人情報保護法(2020年改正)は旅行業を含むすべての事業者に大きな影響を与えました。主要な改正ポイントは6点です。第一に「漏えい等報告・本人通知の義務化」として、個人データの漏えい等が発生した場合に個人情報保護委員会への報告と本人への通知が義務付けられました(一定規模以上の漏えい等の場合)。第二に「保有個人データの開示方法の拡充」として、本人が電磁的記録での開示を請求できるようになりました。第三に「第三者提供記録の開示請求権」として、本人が個人データの第三者提供記録の開示を請求できるようになりました。
第四に「個人の権利の拡充(利用停止・消去・第三者提供の停止請求)」として、旧法では一部の違反がなければ利用停止等請求ができなかったところ、個人の権利または正当な利益が害されるおそれがある場合にも利用停止等請求ができるようになりました。第五に「オプトアウトによる第三者提供の制限強化」として、要配慮個人情報のオプトアウト提供禁止が強化されました。第六に「外国にある第三者への提供規制の強化」として、海外の旅行サービス提供者への情報提供について移転先国の個人情報保護体制の確認・本人への情報提供義務が追加されました。
海外旅行サービス提供者への個人情報提供の注意点
旅行業者は海外旅行の手配において、海外ホテル・航空会社・現地ランドオペレーター(旅行サービス手配業者)等に旅行者の個人情報を提供します。2022年改正後は、個人情報保護委員会が「十分な個人情報保護体制を整備している国・地域」として認定している国(EU加盟国・英国等)以外への個人情報の移転については、本人に対して移転先国の個人情報保護体制に関する情報を提供する必要があります。
旅行業者が海外のサービス提供者と業務委託契約を締結する際は、委託先が適切な個人情報管理体制を持つかどうかを確認する「委託先の監督義務」(個人情報保護法第25条)も果たさなければなりません。海外の委託先に対する監督の具体的な方法としては、委託契約書への個人情報保護条項の追加・定期的なセキュリティチェックシートの提出要求・委託先の認証取得状況の確認(ISO27001等)などがあります。旅行業務取扱管理者はこうした委託先管理の実務を管理業務の一環として把握しておく必要があります。
旅行業者の個人情報管理体制整備チェックリスト
- プライバシーポリシー(個人情報保護方針)が最新の法改正に対応した内容でウェブサイトに公表されているか
- 申込書・契約書に個人情報の利用目的と同意確認が明記されているか
- 要配慮個人情報の取得場面で本人からの明示的同意が取得できているか
- 社内の個人情報取扱担当者が特定され、アクセス権限が適切に管理されているか
- 顧客管理システムのアクセスログが記録・保管されているか
- 退職・異動した従業員のシステムアクセス権が速やかに削除されているか
- 海外業務委託先との契約書に個人情報保護条項が盛り込まれているか
- 個人情報漏えい発生時の対応手順(個人情報保護委員会への報告・本人への通知)が整備されているか
- 個人情報の保存期間と廃棄方法が定められているか
旅行業での個人情報管理 法令対照表
| 義務の種類 | 根拠法令 | 主な内容 | 旅行業での具体例 |
|---|---|---|---|
| 利用目的の特定・通知 | 個人情報保護法第17条・第21条 | 個人情報の取得時に利用目的を特定し本人に通知する | 申込書・プライバシーポリシーに利用目的を明記 |
| 要配慮個人情報の取得制限 | 個人情報保護法第20条第2項 | 本人の明示的同意なしに要配慮個人情報を取得しない | アレルギー・健康情報取得時の同意確認 |
| 安全管理措置 | 個人情報保護法第23条 | 個人データの漏えい・滅失・毀損を防ぐ適切な措置 | システムのアクセス権管理・パスワード定期変更 |
| 従業員の監督 | 個人情報保護法第24条 | 個人データを取り扱う従業員への必要・適切な監督 | 個人情報保護研修の実施・誓約書の取得 |
| 委託先の監督 | 個人情報保護法第25条 | 業務委託先が個人データを適切に管理するよう監督 | 海外ランドオペレーターとの契約書に保護条項を追加 |
| 第三者提供の制限 | 個人情報保護法第27条 | 本人同意なしに個人データを第三者に提供しない(例外あり) | 旅行サービス提供者への情報提供の際の同意確認 |
| 漏えい等の報告・通知 | 個人情報保護法第26条 | 一定規模以上の漏えい等発生時に委員会への報告と本人通知 | 予約システムへの不正アクセス発生時の対応 |
| 記録・保管義務 | 旅行業法第11条の3第9項 | 契約内容に係る重要事項を明確に記録・保管する | 契約書・申込書・取引記録の適切な保管と廃棄 |
個人情報漏えい発生時の対応と法的リスク
漏えい発生時の報告義務と対象要件
2022年改正個人情報保護法により、個人情報取扱事業者は一定の要件を満たす個人データの漏えい等が発生した(またはそのおそれがある)場合に、個人情報保護委員会への報告と本人への通知が義務付けられました。報告が義務付けられる漏えい等の主な要件は以下のとおりです。①要配慮個人情報が含まれる場合、②不正利用による財産的被害が生じるおそれがある場合(クレジットカード情報の漏えい等)、③不正目的で行われた不正アクセス等に起因する場合、④1,000人超の個人データが漏えいした場合の4つです。
旅行業者においては、予約システムへの不正アクセスによる顧客情報の流出(大規模漏えい)、元従業員による顧客名簿の持ち出し(不正目的による漏えい)、クレジットカード情報を含む決済データの流出(財産的被害のおそれ)などが報告義務の対象となる典型例です。旅行業者は漏えい等の事態を知ってから速やかに(原則として3~5日以内に速報、30日以内に確報を)個人情報保護委員会に報告するとともに、本人(旅行者)にも通知する必要があります。
本人への通知義務と対応実務
個人情報の漏えい等が発生した場合の本人への通知には、①漏えい等が発生した(またはそのおそれがある)個人データの項目、②漏えい等の原因、③二次被害またはそのおそれの有無・その内容、④本人にとってほしい措置の内容、⑤問い合わせ窓口の5項目を含めることが求められます。通知の方法は文書・電話・メール等の適切な方法であれば問われませんが、本人の特定が困難な場合はウェブサイトへの掲示などの代替措置も認められています。
旅行業者が個人情報漏えい対応を怠った場合や虚偽の報告を行った場合、個人情報保護委員会から勧告・命令を受ける可能性があります。命令違反には罰則(1年以下の懲役または100万円以下の罰金)が定められており、法人の場合は法人も罰金刑(1億円以下)の対象となります。また旅行業者として登録している事業者が個人情報保護法に基づく命令を受けた場合、旅行業法上の行政処分(業務改善命令・業務停止命令・登録取消)の対象となる可能性もあります。
旅行業務取扱管理者試験での関連論点
管理業務第9項との関係と試験での出題傾向
旅行業務取扱管理者試験において個人情報保護法は直接の出題科目ではありませんが、旅行業法科目における「管理業務第9項(記録・保管義務)」「旅行業者の禁止行為」「旅行業務取扱管理者の職務」を学ぶ際に個人情報保護の観点を持っておくと、実務知識として体系的な理解が深まります。管理業務第9項が定める「契約内容に係る重要事項の記録・保管義務」は個人情報保護法の記録保管義務とも重なる部分があり、関連法令の相互理解が体系的な学習に役立ちます。
試験本番の頻出論点として「管理業務9項目の内容(特に第1項・第8項・第9項の重要性)」「旅行業者の誠実義務(旅行業法第12条の3)」「旅行業法に基づく行政処分の3種類(業務改善命令・業務停止命令・登録取消)」は高頻度で出題されます。誤りの選択肢として「顧客情報の保管は旅行業者の任意である」「行政処分は民法に基づく」などの誤答肢が設定されることがあるため、法的根拠と制度の目的をセットで理解することが得点力につながります。
旅行業務取扱管理者としての情報管理義務
旅行業務取扱管理者は各営業所において情報管理の最終責任者として機能します。旅行業法第11条の3が定める管理業務の第9項(記録・保管義務)を適切に遂行するためには、①契約書・申込書の適切な保管期間と廃棄方法の設定、②顧客情報データベースへのアクセス権限の管理、③従業員への個人情報保護教育の実施、④情報漏えい発生時の初動対応体制の整備が必要です。旅行業務取扱管理者がこれらを適切に管理・監督することで、旅行業法上の義務(管理業務遵守)と個人情報保護法上の義務(安全管理措置)を同時に満たすことができます。
2026年以降の旅行業界では、生成AI・クラウドサービスの活用が進む中で個人情報の取り扱いはより複雑になっています。旅行業者がAIを活用した顧客サービス(旅行プランの自動提案・チャットボット等)を導入する際も、個人情報保護法の「利用目的の特定」「本人への通知」「安全管理措置」などの義務が適用されます。旅行業務取扱管理者には旅行業法・個人情報保護法・消費者契約法など関連法令を横断的に把握し、適法な旅行業務運営の要として機能することが期待されています。
合格に向けた効率的な学習方法
旅行業法・約款・国内実務・海外実務の4科目を横断する論点(管理業務9項目・行政処分の3種類・弁済業務保証金制度・特別補償規程)は各科目に関連する最重要テーマです。個人情報保護の観点を加えながら管理業務第9項の意義を理解することで、試験対策と実務知識の両立が図れます。通信講座を活用した体系的な学習については旅行業務取扱管理者通信講座のすすめもご参照ください。
PR
ユーキャンの国内・総合旅行業務取扱管理者 速習レッスン 2025年版
旅行業法・約款・国内実務・海外実務の4科目を1冊に凝縮。管理業務9項目や行政処分など試験頻出の法令知識を図表でわかりやすく整理しており、個人情報管理を含む実務知識の基礎固めにも最適です。
PR
観光・旅行教科書 旅行業務取扱管理者【総合・国内】テキスト&問題集 第6版
最新の法改正に対応した総合・国内両対応の定番テキスト。旅行業法の条文解説が充実しており、記録保管義務・苦情処理・行政処分まで実務と試験対策を同時に学べます。

