トルコ KVKK: 個人データ保護コンプライアンス

トルコのキシセル・ベレリン・コルンマス・カヌヌ (KVKK — 個人データ保護法第 6698 号) は 2016 年 4 月 7 日に発効し、トルコは EU 外で GDPR に準拠した包括的なデータ保護法を制定した最初の国の 1 つとなりました。トルコのデジタル経済の成長、人口（8,500万人）の多さ、そしてヨーロッパと中東の両方の市場にサービスを提供する企業のハブとしての役割により、国際機関にとってKVKKコンプライアンスはますます重要な考慮事項となっています。

KVKK は、個人データ保護当局 (Kişisel Verileri Koruma Kuramu — KVKK Authority または KVK Kuramu) によって管理され、個人データ保護委員会 (Kişisel Verileri Koruma Kuramu) によって執行されます。理事会は積極的にガイダンスを発行し、苦情を調査し、多額の罰金を課しており、2025 年の時点で違反 1 件あたりの罰金は最大 1,980 万₺1,980 万 (62 万米ドル) に達しています。

重要なポイント

• KVKKは、管理者がどこに設立されているかに関係なく、トルコの個人の個人データを処理する自然人および法人に適用されます。
• 一般的な個人データには 7 つの処理条件が存在します。機密性の高い個人データ用に 8 つ
• 機密個人データには、人種、民族的出身、政治的意見、哲学的信念、宗教、宗派、労働組合のメンバーシップ、健康、性生活、有罪判決、生体認証、および遺伝データが含まれます。
• データ主体には、アクセス、修正、消去、自動化された決定に対する異議を含む 8 つの権利があります。
• 国境を越えたデータ転送には、理事会による適切性の判断または明示的な同意が必要です
• VERBİS 登録 (データ管理者レジストリ) は、特定のしきい値を満たす管理者に必須です
• データ侵害は不当な遅延なく取締役会に通知する必要があり、重大な侵害の場合は 72 時間以内に通知する必要があります。
• 最高 ₺1,980 万の行政罰金。トルコ刑法に基づく刑事責任

---

KVKK フレームワークと領土範囲

適用性

KVKK は以下に適用されます。

• 完全にまたは部分的に自動化された手段によって個人データを処理する自然人および法人
• 個人データをデータがファイリング システムの一部である場合は非自動手段で処理する自然人および法人

域外適用: KVKK は、GDPR 第 3 条と同じ明確な条件で域外適用を明示的に述べていません。ただし、理事会は、KVKK がトルコ国内の個人の個人データを処理する海外のデータ管理者に適用されるという立場をとっており、これは Facebook/Meta およびその他の国際企業に対する執行措置に反映されています。トルコ国外でトルコの個人に商品/サービスを提供したり、トルコの個人のデータを処理したりする管理者は、KVKK の義務を評価する必要があります。

免除: KVKK は以下には適用されません。

• 純粋に個人的な活動のための自然人による個人データの処理
• 犯罪捜査および訴追を目的とした個人データの処理
• 統計目的での匿名化された個人データの処理
• 芸術および文学のための処理
• 報道、学術、芸術、文学を目的とした処理（制限付き）
• 国防、安全保障、公安の範囲内での処理

---

処理条件

第 5 条では、個人データを処理できる条件を定めています。 少なくとも 1 つの条件を満たす必要があります:

1. データ主体の明示的な同意
2. 法律で明示的に規定 — 法律で明示的に要求または許可された処理
3. 生命または身体的完全性の保護 — データ主体または第三者が同意を提供できない場合
4. 契約の必要性 — 契約の締結または履行に必要な処理
5. 法的義務 — データ管理者の法的義務の履行
6. データ主体がデータを公開した — 個人がデータを公開した
7. 権利の確立、行使、または保護 — 法的手続きに必要

機密個人データの条件 (第 6 条): 機密個人データは以下の場合にのみ処理できます。

1. データ主体の明示的な同意がある場合
2. 同意なし、特定のカテゴリのみ:

• 健康および性生活データ: 保健分野の関係者の秘密保持義務による、またはその義務に基づく、公衆衛生の保護、予防医学、医療診断、ケア/治療サービス、および保健サービスの計画と管理のみを目的としています。
• その他の機密データ (人種、民族的出身、宗教、労働組合のメンバーシップなど): 法律で明示的に規定されている場合には処理が許可されます

機密の個人データには、人種、民族的出身、政治的意見、哲学的信念、宗教、宗派またはその他の信念、服装、労働組合のメンバーシップ、健康、性生活、有罪判決および安全対策、生体認証データおよび遺伝データが含まれます。

---

データ主体の権利

第 11 条では、データ主体に次の権利を付与しています。リクエストには、30 日以内に無料で応答する必要があります。

権利の行使: データ主体は書面によるリクエストを提出します (または管理者が指定した方法を通じて)。管理者は 30 日以内に応答する必要があります。要求が拒否された場合、データ主体は 30 日以内に委員会に苦情を申し立てることができます。

---

VERBİS 登録

第 16 条では、データ管理者は、個人データの処理を開始する前にデータ管理者レジストリ (VERBİS — Veri Sorumluları Sicili) に登録する必要があります。登録には以下が必要です。

• コントローラーの ID と連絡先情報
• 処理目的
• 転送されたデータグループと受信者
• 譲渡目的
• 処理されるデータカテゴリ
• セキュリティ対策が講じられています
• 保存期間

VERBİS 登録の免除 (理事会の決定によって決定):

• 年間従業員数が 50 人未満、かつ年間財務諸表が 2,500 万トルコ リラを超えないこと
• データ主体自身の利益のみを目的とした処理
• 機密データが処理されない限定された目的での処理

重要: VERBİS 登録が免除されている場合でも、KVKK の他のすべての義務が適用されます。 VERBİS の除外では、レジストリ要件が削除されるだけです。

海外のデータ管理者: 理事会は、KVKK の対象となる海外のデータ管理者も、免除カテゴリーに属さない場合は VERBİS に登録する必要があると決定しました。

---

データ管理者の義務

プライバシーに関する通知

データ管理者は、収集時または収集前にデータ主体に以下の情報を通知する必要があります。

• 管理者および代表者の身元 (該当する場合)
• 処理目的
• 個人データの受信者と転送の目的
• データ収集方法と法的根拠
• 第 11 条に基づくデータ主体の権利

言語: トルコ人の個人にサービスを提供する場合は、トルコ語である必要があります。

データ管理者の代表者

KVKK は、GDPR 第 27 条と同様に、海外管理者にトルコ代表を明示的に要求していませんが、理事会の執行実務では、海外管理者はトルコに連絡窓口を指定する必要があると示しています。国境を越えた送金に関する2024年の理事会規制により、この要件が正式に定められる予定です。

データの最小化と目的の制限

第 4 条では、中核となるデータ処理原則を確立します。

• 法令の遵守と誠実
• 正確性と最新性
• 特定、明確、正当な目的のための処理
• 目的との関連性、制限、比例性 ・法令に定められた期間または目的に応じて必要な期間の保存

安全対策（第12条）

データ管理者は、以下を防ぐために必要な技術的および管理的措置をすべて講じる必要があります。

• 個人データの不法な処理
• 個人データへの違法なアクセス
• 個人データの紛失、破壊、または改ざん

理事会は特定の技術ガイドラインを発行しました。主な要件は次のとおりです。

• 保管および送信時の機密個人データの暗号化
• アクセス制御と認証管理
• 監査ログ
• 侵入テスト (少なくとも年に 1 回)
• 人材の研修

---

国境を越えたデータ転送

第 9 条および第 9/A 条は、国際データ転送を規定します。主な制限:

一般的な禁止事項: 以下の条件のいずれかが満たされる場合を除き、データ主体の明示的な同意なしに個人データを海外に転送することはできません。

1. 適切な保護: 仕向国は適切な保護を提供すると理事会によって決定されています。かつ、いずれかの処理条件が満たされた場合

2. 約束: 海外の受取人は、適切な保護が提供されることを書面で約束します。そして取締役会は譲渡を承認しました

3. 標準契約条項: 2024 年の KVKK 改正では、GDPR のアプローチをモデルとした SCC が導入されています。適切でない国への移転には理事会が承認した標準契約条項を使用できます。

4. 拘束力のある企業規則: グループ内異動に関する承認済みのBCR

5. 例外的な譲渡: 明示的な同意が得られず、法的手続き、重要な利益、権利の行使、公務の遂行のために譲渡が必要な場合

十分性の判定が行われている国: 理事会はリストを維持しています。 2026 年初頭の時点で、限られた数の国が承認されています。 EU はトルコと相互十分性協定を結んでいません (KVKK の GDPR 連携にもかかわらず)。つまり、EU→トルコおよびトルコ→EU の移転には SCC または明示的な同意が必要です。

クラウド サービスの現実: トルコで事業を展開している多くの企業は、トルコ国外でホストされているクラウド サービスを使用しています。現在の KVKK の要件では、海外に転送される各個人のデータについて明示的な同意を取得するか、転送の取り決めのために SCC/BCR を実装する必要があります。

---

違反通知

KVKK は、元の法律では違反通知のスケジュールを明示的に指定していません。ただし、取締役会の決定と実施ガイダンスでは、次のことが定められています。

• 理事会への通知: 不当な遅滞なく、個人データ侵害に気づいてから遅くとも 72 時間以内に
• データ主体への通知: 違反がデータ主体の権利に影響を与える可能性がある場合、不当な遅滞なく
• kvkk.gov.tr ポータルで利用可能な委員会の通知フォームを使用します。

通知内容:

• 侵害の性質とカテゴリー/影響を受ける個人のおおよその数
• 影響を受けるレコードのカテゴリとおおよその数
• データ保護担当者の連絡先詳細
• 侵害によって起こり得る影響
• 講じられたまたは提案された措置

---

理事会の執行と罰則

個人データ保護委員会 (Kişisel Verileri Koruma Kuralu) には、トルコ大統領によって任命された 7 人の委員がいます。次の権限を持っています。

• 苦情を調査する
• 職権による調査の実施
• 拘束力のある決定を発行する
• 行政罰金を課す
• コンプライアンス命令の発行

行政罰金 (毎年更新):

刑事罰: トルコ刑法第 135 ～ 140 条に基づき、個人データの違法な録音、第三者への提供、破壊、または使用は 1 ～ 4 年の懲役に処される可能性があります。機密データの悪用は罰則を増加させます。

注目すべき執行措置: 理事会は、WhatsApp (プライバシー ポリシーの変更による違法な国境を越えた転送に対して 195 万₺)、Trendyol (データ セキュリティの欠陥に対する複数の措置)、Meta/Facebook (WhatsApp データ共有に対して 300 万₺)、およびさまざまなトルコの銀行および通信事業者に対する罰金を含む重要な決定を下しました。

---

KVKK コンプライアンス チェックリスト

• KVKK の適用性が決定されました (トルコの事業またはトルコの個人のデータが処理されました)
• VERBİS登録完了または免除確認
• 機密データの識別を含む個人データのインベントリが完了しました
• アクティビティごとに文書化された処理条件
• 機密データの処理条件を文書化 (明示的な同意または特定の免除)
• 必要な要素をすべて記載したトルコ語で作成されたプライバシー通知
• データ主体の権利手順を文書化 (30 日間の応答)
• 国境を越えた移転の評価が完了 — メカニズムが整備されている (SCC、同意、または十分性)
• セキュリティ対策の実装: 暗号化、アクセス制御、監査ログ
• 侵入テストを実施し、結果を文書化
• 違反通知手順を文書化 (72 時間の理事会通知)
• 保持スケジュールが文書化され、自動削除が構成されています
• KVKK の義務に関する人材トレーニングが完了
• VERBİS エントリは最新の状態に保たれます

---

よくある質問

VERBİS とは何ですか?私のビジネスには登録が必須ですか?

VERBİS (Veri Sorumluları Sicili) は、トルコのデータ管理者レジストリ、つまり個人データを処理する組織の公的登録です。理事会が決定した免除の資格を持たないデータ管理者には登録が必須です。免除カテゴリーには、機密データを処理しない小規模組織 (従業員 50 人未満、かつ年間売上高 2,500 万 TL 未満) が含まれます。商業目的で個人データを処理する他のすべての組織は、処理を開始する前に登録する必要があります。登録を怠った場合、最高 ₺196 万の行政罰金が科せられます。

KVKK は GDPR とどう違うのですか?

KVKK と GDPR は構造と原則が似ており、どちらも法的根拠、データ主体の権利、コントローラー/プロセッサーのフレームワーク、およびデータセキュリティ義務を確立しています。主な違い: (1) KVKK の処理条件は少ない (GDPR の 6 に対して 7 ですが、KVKK の条件は実質的に異なります)。 (2) KVKK の国境を越えた送金はより制限的です — トルコは EU 加盟国ではないため、EU→トルコおよびトルコ→EU への送金には SCC または同意が必要です。 (3) VERBİS 登録には、GDPR に直接相当するものはありません。 (4) KVKK の刑事罰はより広範囲にわたる。 (5) KVKK の執行アプローチは、国際データ フローに対してより制限的なものとなっています。

私の会社にはトルコに現地代理人が必要ですか?

KVKK には、トルコ代表者に対する GDPR 第 27 条に類似した明示的な要件はありません。しかし、取締役会は海外企業に対して執行措置を講じており、VERBİS への登録や取締役会の調査への対応を含む実際のコンプライアンスには、トルコ語でのコミュニケーションとトルコの法的手続き内で対応する能力が必要です。多くの海外企業は、トルコの法律事務所またはコンプライアンスパートナーを事実上の代表者として任命しています。 2024 年の KVKK 改正では、海外の管理者に対する代表的な要件が明確になる予定です。

トルコの企業が AWS または Azure を使用して国境を越えて転送できるオプションは何ですか?

AWS と Azure はトルコにデータセンターを持っています (AWS と Azure はどちらもイスタンブール リージョンにあります)。トルコ地域のサービスを利用すると、国境を越えた転送の問題を回避できます。トルコ以外のクラウド リージョンを使用する場合は、国境を越えた転送メカニズムが必要です。現在、主なオプションは次のとおりです。(1) 明示的な個別の同意 (大規模なクラウド使用には運用上困難)。 (2) 約束 — 海外の受信者は、データ保護に関する書面による誓約を提出し、理事会によって承認されます (理事会の承認プロセスには時間がかかります)。 (3) 2024 年の修正で導入された理事会承認の SCC。多くの企業は、同意ベースのアプローチから移行する前に、SCC テンプレートに関する取締役会のガイダンスを待っています。

KVKK の罰金が最も高額になるのはどのような種類の違反ですか?

最も高額な行政罰金 (最高 ₺1,960 万) は、国境を越えた転送違反に対するものです。データ セキュリティ義務違反には、最大 ₺980 万の罰金が科せられます。理事会の決定に従わなかった場合には、高額の罰金 (最大 ₺980 万) が科せられます。実際、理事会は、不法な国境を越えた送金（特にソーシャルメディアプラットフォームへの）、不十分な技術的対策に起因するデータセキュリティ侵害、および通知義務の組織的な不遵守に対して、最も高額の罰金を課している。個人データの意図的な違法な記録または提供に対しては、刑事罰 (トルコ刑法に基づく懲役) が留保されます。

---

次のステップ

トルコの KVKK は、積極的な執行、特定の技術基準、および複雑な国境を越えた転送ルールを備えた厳しいコンプライアンスの枠組みです。トルコの法律は理事会の決定や規制の改正を通じて進化し続けるため、コンプライアンスを維持するには継続的な監視が必要です。

ECOSIRE は、KVKK コンプライアンス評価、VERBİS 登録サポート、データ保護管理の技術的導入、国境を越えた転送メカニズムの選択を通じて、トルコで事業を展開する企業を支援します。

始めましょう: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。トルコのデータ保護法は、理事会の決定や法改正を通じて継続的に変更される可能性があります。あなたの組織に特有のアドバイスについては、資格のあるトルコの法律顧問にご相談ください。