テクノロジー法、データプライバシー(KVKK)および暗号資産規制。Serka法律事務所は、国際的なテクノロジー企業、SaaSプロバイダー、フィンテック、AI開発者、および暗号資産プラットフォームに対し、トルコのデータ保護法、電子商取引法、インターネット法、資本市場法に関する助言を提供する。当事務所は、外国のプラットフォームが適法にトルコのユーザーへサービスを提供できるようコンプライアンス体制を構築し、規制当局がそのプラットフォームに対し措置を講じた際にはこれを防御する。
弁護士 Serkan Kara, イスタンブール弁護士会 登録番号 53770
最終更新: 2026年6月
トルコで事業を行う企業にとってのテクノロジー法およびデータプライバシー法とは何か。
トルコにおけるテクノロジー法およびデータプライバシー法は、企業が個人データおよびデジタルサービスをどのように収集、保管、移転、収益化するかを規律するものである。中核となる法令は個人データ保護法第6698号(KVKK)であり、これはEUのGDPRを反映しているものの、データをトルコ国外へ移転することに関してはより厳格な条件を課している。トルコのユーザーにサービスを提供するテクノロジー企業は、そのサーバーがどこに所在するかにかかわらずこれらの規則に拘束される。KVKKと併せて、電子商取引規制法第6563号、インターネット法第5651号、および資本市場法第6362号(暗号資産について)が一体となって、いかなる外国プラットフォームも遵守しなければならない規制の枠組みを形成している。
テクノロジーまたはデータに関するプロジェクトでは、まず何を検討すべきか。
テクノロジープロジェクトは、データフローの図式化から着手すべきである。すなわち、データ主体が誰であるか、いかなる個人データがいかなる目的で処理されるか、どこに保管されるか、どの第三者またはベンダーがこれに接触するかを明らかにする。この図式から、弁護士は各フローに付随する法的義務を特定することができる。これには、同意その他の適法な処理根拠、国境を越える移転の管理、安全管理義務、消費者向け契約条件、および各分野のライセンスが含まれる。これらの問題を規制当局の照会後ではなく製品設計の段階で解決することこそが、単一の商業上の決定が後にコンプライアンス上の失敗へと発展することを防ぐのである。
KVKKとは何か、また、それはGDPRとどのように異なるのか。
KVKK(個人データ保護法第6698号)はトルコの一般的なデータ保護法令であり、その原則、データ主体の権利、説明責任義務においてGDPRと構造的に近い。決定的な相違点は国境を越えるデータ移転にある。GDPRが十分性認定および標準化された保護措置の下で移転を認めているのに対し、KVKKは従来、データ主体の明示的な同意を要求するか、または移転先国が個人データ保護委員会の十分な保護を有する国の一覧に掲載されていることを要求してきた。実務上この十分性一覧は限定的なままであるため、ほとんどの国際企業は、移転先を自動的に安全とみなすのではなく、委員会が承認した書面による約束または標準契約上の保護措置に依拠している。
データ管理者のためのVERBIS登録
所定の基準値を満たす企業、またはその中核的活動が機微な個人データの処理である企業は、個人データ保護庁が管理する公的なデータ管理者登録簿であるVERBISに登録しなければならない。登録は、管理者のデータ目録、処理目的、保管期間、および安全管理措置を記録するものである。トルコに事業所を持たない外国のデータ管理者は、トルコにおいてデータ管理者代表者を選任しなければならず、当事務所はこの役割を国際的な依頼者のために遂行している。登録を怠ること、または不正確な情報を登録することは、管理者を行政上の制裁金にさらすことになる。
国境を越えるデータ移転
KVKKの下では、トルコ国内のユーザーの個人データを、利便性のみを理由に国外のサーバーへ移転することはできない。明示的な同意は一つの方法であるが、ユーザーがいつでもこれを撤回できるため脆弱である。より持続的な方法は、真正な技術的および組織的な安全管理上の同等性に裏付けられた、個人データ保護委員会が承認した書面による約束または標準契約上の仕組みである。当事務所はこれらの法的文書を作成し提出することにより、グローバル企業がトルコ法の下で適法であり続けながら、既存のクラウドインフラ上にデータを保持できるようにする。
トルコは暗号資産および暗号資産プラットフォームをどのように規制しているか。
トルコにおける暗号資産および暗号資産サービスプロバイダーは、暗号資産を資本市場委員会(SPK)の監督下に置くべく改正された資本市場法第6362号の下で規制されている。取引所および保管プラットフォームを含む暗号資産サービスプロバイダーは、SPKから事業認可を取得し、資本、ガバナンス、保管、およびマネーロンダリング防止に関する義務を遵守しなければならない。当該認可を受けずにトルコのユーザーを対象とする取引所を運営することは、無認可の資本市場活動として扱われ、責任ある経営者の刑事責任およびプラットフォームへのアクセス遮断につながり得る。
暗号資産取引所のライセンス取得
トルコのユーザーを勧誘し、トルコ語で広告を行い、またはトルコリラの取引ペアを提供する外国の取引所は、一般にトルコの株式会社を設立し、SPKの認可を取得する必要がある。ライセンス取得には、最低資本要件を満たすこと、MASAK(金融犯罪調査委員会)に整合したマネーロンダリング防止および顧客確認の管理を実施すること、ならびに適合的な保管体制を整備することが含まれる。当事務所は認可申請を最初から最後まで管理し、ライセンスを保有する事業体を組成する。
トークン発行およびWeb3の組成
トークン発行は証券に関するリスクを伴う。利益分配または配当の手段のように機能するトークンは証券として扱われ得るものであり、これは目論見書および開示の義務を生じさせる。当事務所は、ユーティリティトークンとセキュリティトークンを区別する法的意見書を提供し、発行体を組成し、リテール向けの提供をジオフェンシングすることにより、創業者がトルコにおいて無認可の公募であるとの主張にさらされないようにする。
外国のオンラインプラットフォームにはどのような電子商取引規則が適用されるか。
トルコの消費者に販売を行う外国のオンラインプラットフォームは、電子商取引規制法第6563号および通信販売契約に関する規則を遵守しなければならない。最も重要なのは二つの義務である。第一に、事業者対消費者のいかなる販売においても、購入前の詳細な事前情報フォームと併せて、消費者に対し違約金なしの14日間の撤回権を与えなければならない。第二に、マーケティングSMS、電子メール、または自動音声通話などの商業的電子メッセージには、中央メッセージ管理システム(IYS)に記録された事前の承認が必要であり、消費者のオプトアウトは自動的に履行されなければならない。IYSの承認なくして求められざるマーケティングを送信すること、または適法な返金を拒否することは、行政上の制裁金および消費者からの苦情を招き、現地の決済処理を妨げ得る。
トルコ当局は外国のプラットフォームを遮断または速度制限できるか。
できる。インターネット法第5651号の下では、トルコにおける大規模な日次ユーザー基盤を有する外国のソーシャルネットワークプロバイダーは、法的通知を受領し対応するために現地代表者を選任しなければならない。裁判所が人格権その他法定の根拠に基づき内容の削除を命じた場合、プロバイダーは法定の期間内に措置を講じなければならない。これを拒否すると、情報通信技術庁(BTK)が広告禁止、制裁金、およびサービスを劣化させる段階的な帯域幅の速度制限を課すことにつながり得る。当事務所は選任された代表者として行動し、各命令の有効性を評価し、命令に瑕疵がある場合には異議を申し立て、単一の紛争がプラットフォーム全体の可用性を危険にさらすことのないよう、狭く対象を絞ったコンプライアンスを実行する。
テクノロジー企業にとっての主要な法的リスクとは何か、また、その例外は何か。
繰り返し生じるリスクは、違法な国境を越えるデータ移転、VERBIS登録の欠落、SPKの認可なき暗号資産サービスの運営、IYSの承認なき求められざるマーケティング、ならびにインターネット法上の内容削除義務または代表者選任義務の無視である。これらはいずれも行政上の制裁金を伴い、いくつかは刑事上の責任またはアクセス遮断を伴う。主要な例外および抗弁には、KVKKの下での同意以外の適法な処理根拠、データを個人データの範囲から除外する真正な匿名化、委員会が承認した移転のための法的文書、ならびに暗号資産またはトークンの活動がトルコのリテールユーザーを対象としないように組成することが含まれる。例外が適用されるか否かは事実に依拠するものであり、規制当局が措置を講じた後ではなく、その前に評価されるべきである。
テクノロジーおよびデータプライバシーの事項について弁護士は必要か。
弁護士は、テクノロジー製品が大規模にトルコのユーザーに接触する場合、機微なデータまたは生体データを処理する場合、データを国外へ移転する場合、暗号資産またはトークンのサービスを提供する場合、または規制当局の通知を受領した場合には常に必要である。これらの事項はデータ保護法、資本市場法、消費者法、およびインターネット法を組み合わせるものであり、一つの分野における誤りが決済ゲートウェイを凍結させ、またはサービス全体を遮断し得る。製品設計の段階で弁護士に依頼することは、ローンチ後に執行措置に対し防御するよりもはるかに費用がかからない。
よくある質問
KVKKはトルコに事務所を持たない企業にも適用されるか。
適用される。KVKKは、企業がどこで設立されたか、またはそのサーバーがどこに所在するかではなく、トルコ国内の個人の個人データの処理を基準として適用される。トルコのユーザーのデータを処理する外国のデータ管理者は、一般にVERBISに登録し、トルコにおいてデータ管理者代表者を選任することが求められる。
当社は顧客データをトルコ国外のAWSまたはGoogle Cloudに保持できるか。
多くの場合可能であるが、自動的にではない。トルコのユーザーの個人データを外国のクラウドインフラに保管することは、KVKKの下では国境を越える移転にあたる。これは、有効な明示的同意によって、または、より持続的には、委員会が承認した書面による約束もしくは標準契約上の仕組みに加えて十分な安全管理措置によって裏付けられなければならない。当事務所は移転を認可する法的文書を作成し提出する。
国外からトルコのユーザー向けに暗号資産取引所を運営することは適法か。
無認可のオフショア取引所から国外でトルコのユーザーを対象とすることは、法第6362号の下で無認可の資本市場活動として扱われ、刑事責任およびアクセス遮断につながり得る。トルコのユーザーを望むプラットフォームは、通常、トルコの会社を設立し、MASAKに準拠したマネーロンダリング防止管理を含むSPKの認可を取得しなければならない。
IYSの承認なくマーケティングメッセージを送信した場合、何が起こるか。
承認を得ていない各商業的電子メッセージは行政上の制裁金を招き得るものであり、違反を繰り返すと規制当局および消費者からの苦情を招く。トルコの消費者へのマーケティングSMS、電子メール、および自動音声通話はIYSシステムに登録されなければならず、オプトアウトは自動的に適用されなければならない。
トルコの裁判所が当社に内容の削除を命じた。期限はいつか。
インターネット法第5651号の下では、プロバイダーは、有効な内容削除命令に対し、その命令の類型に適用される法定の期間内に措置を講じなければならない。期限を徒過すると、BTKが広告禁止、制裁金、および帯域幅の速度制限を課すことにつながり得る。当事務所は命令の有効性を評価し、必要な場合には遵守し、瑕疵ある命令に対しては争う。
規制当局の照会後、どれほど速やかに弁護士を関与させるべきか。
直ちに関与させるべきである。早期の弁護士の関与は、不適合なデータパイプラインを一時停止させ、匿名化または代替的な適法根拠といった抗弁を保全し、制裁金および破棄命令が確定する前に規制当局との構造的な対話を開始することができる。遅延は利用可能な抗弁を狭めるものである。
関連する法務サービス
テクノロジーに関する事項は、しばしば他の業務分野と結びつく。当事務所は、SPKライセンスを保有する事業体のためのトルコにおける会社設立、SaaSおよびプラットフォーム契約のための企業法務および商事法、インバウンドのテクノロジー資本のための外国直接投資の組成、デジタルサービス課税のための税法および関税規制、ならびに資本市場またはサイバー犯罪に関する責任が生じる場合の刑事弁護および裁判管轄と、テクノロジーおよびデータに関する業務を連携させている。
秘密厳守の案件評価を依頼する
貴社のプラットフォームがトルコのユーザーデータを処理する場合、トルコのユーザーに暗号資産またはトークンのサービスを提供する場合、または規制当局の通知を受領した場合は、秘密厳守の案件評価を依頼してください。製品、データフロー、および係属中の命令があればそれを説明していただければ、当事務所は適用される義務と、貴社が適法かつ事業を継続できる体制を特定する。
法的免責事項
本ページは、トルコのテクノロジー法、データ保護法、および資本市場法に関する一般的な情報を提供するものであり、法的助言を構成するものではない。本ページを読むことによって弁護士・依頼者関係が成立するものではない。弁護士・依頼者関係は、署名された委任契約によってのみ成立する。具体的な状況に関する助言については、有資格の弁護士に相談されたい。