世界中の法務サービス · 15言語
SERKA法律事務所国際法務アドバイザリー

トルコのデータプライバシー法:KVKKコンプライアンス・ガイド

トルコのデータプライバシー法:KVKKコンプライアンス・ガイド

執筆:弁護士 Serkan Kara、イスタンブール弁護士会登録番号 53770。最終更新日:2026年6月14日。

トルコにおけるデータプライバシーは、EUの一般データ保護規則(GDPR)を強く参照して設計された個人データ保護法第6698号(KVKK)によって規律されています。KVKKは、データ管理者が個人データを収集・処理・保管・移転する方法を規律し、適法な処理の要件を第5条に定め、国境を越える移転を第9条で規制し、個人データ保護機関(Kisisel Verileri Koruma Kurumu)によって執行されます。国境を越えて事業を行う企業にとって、KVKKコンプライアンスは現在、GDPRへのエクスポージャー、EU AI法、侵害通知義務と並んで位置づけられるため、これらの規律文書は単独ではなく相互に関連づけて読まなければなりません。

外国投資家、ゼネラル・カウンセル、そして国境を越えて事業を行う企業にとって、トルコにおけるテクノロジーおよびデータプライバシー・コンプライアンスは、もはや単一の法律で完結する作業ではありません。個人データ保護法第6698号(KVKK)が中核となる国内法ですが、実際のエクスポージャーはGDPR、EU AI法、そしてエンタープライズ顧客が課す契約上の義務にも及びます。本ガイドは、依頼者が実際に尋ねる疑問に答え、適用される規律文書を明示し、文書化されたコンプライアンス・プログラムがいかにして執行リスクおよび取引リスクを低減するかを説明します。

トルコのデータプライバシーはどの法律が規律するのか

トルコにおけるデータプライバシーは、2016年に施行され、EUのGDPRと構造的に整合した個人データ保護法第6698号(KVKK)によって規律されています。KVKKは、個人の個人データを取り扱うデータ管理者および処理者に適用され、適法な処理の要件を定め、データ主体の権利を規定し、監督機関として個人データ保護機関を設置しています。欧州の顧客に対してサービスを提供する企業はGDPRの適用も引き続き受けるため、一つの事業が二重の義務を負うことも少なくありません。

KVKKは、その枠組みを以下のなじみ深い諸原則の上に構築しています。すなわち、適法・公正・透明性のある処理、目的の限定、データの最小化、正確性、保管の限定、そしてデータ・セキュリティです。これらの原則は抽象的なものではありません。監査の際や事案発生後に、処理が適法であったか、また管理措置が十分であったかを機関が判断する際の基準となるものです。

KVKKにおける個人データ処理の適法な根拠とは何か

KVKK第5条のもとでは、個人データは、データ主体の明示的な同意がある場合、または列挙された法的例外のいずれか(契約の履行、法的義務の遵守、正当な利益の保護、法律に明示的に定められた根拠など)に該当する場合に限り、処理することができます。同意がなく、かつ要件を満たす例外にも該当しない処理は、技術的にデータがどのように保護されていたかにかかわらず、違法です。

実務上、最も多く見られる不備は、適法な根拠が存在しないことではなく、その根拠を立証できないことです。管理者は、各処理活動について、依拠する具体的な根拠、目的、関係するデータの種別、保管期間を示せるようにしておくべきです。特別な種類のデータにはより厳格な要件が課されるため、健康・生体・これらに類するデータの処理根拠は、個別かつ慎重に文書化しておくべきです。

国境を越えるデータ移転はどのように規制されるのか

KVKK第9条は個人データの国外移転を規律しており、明示的な同意、または受領国における十分な保護の水準のいずれかを要件とし、適切な場合には当事者間の拘束力ある約束によって裏づけられることを求めています。企業がGDPRの適用も受ける場合、対応するEU起源のデータフローについては、標準契約条項(SCCs)、拘束的企業準則(BCRs)、あるいはEU・米国データプライバシー枠組み(DPF)のような十分性枠組みといった並行的な仕組みが関係してきます。

繰り返し見られる誤りは、クラウド・アーキテクチャを当然に適法なものとして扱うことです。再委託先の連鎖が不完全である場合、グローバル・サポートチームが管理措置なしに本番データへアクセスできる場合、あるいは誰がどのデータにいつアクセスできるかを企業が答えられない場合、移転の枠組みは崩壊します。法的な立場は、データがどこに所在し、誰がそれに触れるかという技術的な実態と一致していなければなりません。

移転の仕組み 最も適した場面 主な限界
標準契約条項(SCCs) 大半の国境を越えるデータフロー。契約として迅速に導入できる 検証可能な技術的・アクセス管理措置と併用しなければ書面上のものにとどまる
拘束的企業準則(BCRs) 成熟したガバナンスを備えた大規模な多国籍グループ 相応の投資と社内承認の時間を要する
十分性/DPF 対象となる法域における適格な受領者 再移転を対象とせず、不十分なベンダー・デューデリジェンスを免責しない

VERBISとは何か、誰が登録しなければならないのか

VERBISは、KVKKのもとで維持されるデータ管理者登録簿であり、データ管理者は、例外に該当する場合を除き、自らの処理活動を登録することが求められます。登録は一度きりの形式的手続きではありません。それは、どのようなデータを、なぜ、いかなる適法な根拠で、どれだけの期間保持しているかを反映した正確な処理目録を維持する義務と結びついています。

特定の企業に登録義務があるか、また適用される基準値や免除があるかは機関によって定められ、変更されることがあるため、登録義務および届出時点で有効な基準値については、その時点で確認してください。実務上の要点は、適切なVERBISの状態は、コンプライアンス・プログラムの他のあらゆる部分を支えるのと同じデータ・マッピングに依存するということです。

個人にはどのような権利があり、EU AI法は何を加えるのか

KVKKのもとで、データ主体には、自己のデータへのアクセス、不正確なデータの訂正、定められた状況における消去または破棄、そして専ら自動処理によって生み出される結果に対して異議を述べる権利を含む諸権利があります。管理者は、これらの請求を受領し、評価し、法律の定める期間内に回答するプロセスを備えていなければならず、そのプロセスが機能していることを立証できなければなりません。

AIを構築または導入する企業にとっては、EU AI法が、システムを分類し、雇用選考、信用・保険の評価、生体識別といったより高リスクの用途にガバナンス義務を課す、別個のリスクベースの規律を加えます。国境を越えて事業を行う企業にとっての実務上の問いは、AIを使用しているか否かではなく、自社のシステムが正しく分類されているか、そして規制当局やエンタープライズ顧客から求められた際に、リスク管理、人間による監督、技術文書、ログ記録を含む一貫したガバナンス・ファイルを提示できるか、という点です。

KVKK違反に対する罰則は何か

KVKKは、違法な処理、データ・セキュリティの確保の懈怠、または義務がある場合の登録の懈怠といった違反に対し、行政罰金その他の措置を定めています。金額の基準値は法律によって定められ、時間とともに調整されるため、罰金の範囲は固定された現行額として扱うのではなく、当該行為または届出の時点で有効な数値に照らして確認すべきです。

執行の結果は、侵害が存在したか否かよりも、対応の質によって左右されます。決め手となる事実は通常、管理者が適法な目的、最小化、十分な管理措置を実際の文書をもって立証できるか、そして運用チームが矛盾を生じさせたり証拠を失ったりすることなく侵害対応を遂行したか、という点にあります。

企業はデータ侵害と通知の期限にどう対応すべきか

侵害対応は、単一の意思決定ではなく、プロセスの試金石です。GDPRのもとでは、第33条が、基準に該当する個人データ侵害を認識してから不当に遅滞なく、かつ実行可能な場合には72時間以内に監督機関へ通知することを求めています。KVKKも同様に、機関および影響を受ける個人への通知を、機関が定める期間内に行うことを求めています。よくある不備は遅延です。企業は完全な確証を待ち、法定の期限を逃してしまいます。

初日における防御可能な対応とは、単一のインシデント・コマンドを発動し、封じ込めによって破壊される前にログやスナップショットといった証拠を保全し、影響を受けたデータセットと法域を特定し、規制当局・顧客・保険会社にまたがる一貫した一つの説明窓口を維持することを意味します。事案発生前にプレイブックを構築しておいてください。事実がまだ不完全なうちにプロセスを設計するには、期限は短すぎるからです。

よくある質問

KVKKは、トルコに事務所を持たない外国企業にも適用されるのか

KVKKは、処理の性質と所在に応じて、トルコにいる個人の個人データを処理するデータ管理者にも及び得ます。現地に事務所を持たない企業も、自社が適用範囲外だと決めつけるべきではありません。むしろ、自社のデータ主体がどこに所在し、どのようなデータを、いかなる適法な根拠で処理しているかをマッピングし、第6698号法のもとでの自社の具体的な事業範囲について助言を受けるべきです。

SCCsはGDPRのもとでクラウド移転を自動的に適法化するのか

いいえ。標準契約条項は契約上の仕組みであり、いかなる移転をも適法化する印章ではありません。それらは技術的な実態と整合していなければならず、移転リスクが高い場合には、暗号化、鍵管理、厳格なアクセス制御といった補完的措置によって裏づけられなければなりません。再委託先の連鎖やアクセス・モデルが不明確であれば、SCCsは書面上のものにとどまり、技術監査に耐えられません。

トルコで個人データを処理するには、常に同意が必要なのか

いいえ。KVKK第5条は、契約の履行や法的義務の遵守など、明示的な同意なしに処理を認める法的例外を列挙しています。同意は複数ある適法な根拠の一つですが、例外に依拠する場合には、それを正確に特定でき、なぜそれが当該の具体的な処理活動に当てはまるのかを文書化できなければなりません。

EU AI法はトルコ企業にどのような影響を与えるのか

EU AI法は、企業がEU市場にAIシステムを提供する場合、EU所在の顧客にサービスを提供する場合、または契約によってAIコンプライアンスの証明を求められる場合に関係してきます。調達側の圧力により、正式な期限よりも早期にガバナンスが求められることが多いため、実務上の対応は、AIシステムを目録化し、リスクによって分類し、エンタープライズ・バイヤーや規制当局が期待する文書を整備することです。

中堅企業にとって最も迅速なコンプライアンス改善とは何か

中核となる各台帳を構築し維持することです。すなわち、処理台帳、移転台帳、該当する場合のAIシステム台帳、そしてベンダー台帳です。そのうえで、台帳の更新と、移転および適法な根拠の確認なしには、新たなベンダーも新たなAI機能も稼働させないという、シンプルな調達ルールを徹底します。これらの台帳は、規制当局や顧客に迅速に回答するために必要な証拠の層となります。

次のデータ・プロジェクトの前に弁護士にご相談ください

国境を越えるデータプライバシー、AIガバナンス、暗号資産・テクノロジーに関する論点は、法律ごとに個別に管理するのが難しい形で交錯します。チェックリストではなく、文書化され監査に対応できるプログラムが必要であれば、当事務所のテクノロジー法・データプライバシー・暗号資産法チームが、外国投資家および国境を越えて事業を行う企業に対し、KVKKおよびGDPRコンプライアンス、移転の仕組み、AI法ガバナンス、インシデント対応について助言いたします。データ資産が取引の一部となる場合には、当事務所の企業法務・商事法務を通じて関連取引もサポートいたします。

関連するお読み物として、知的財産法トルコにおける国際投資の法的側面、そしてトルコ向けAI法務分析プロンプトに関する各ガイドもご覧ください。

本稿は一般的な情報であり、法的助言ではありません。トルコ法に基づくものです。個別の状況については、資格を有する弁護士にご確認ください。