トルコの個人データ保護法(6698号)を解説
トルコ共和国(以下、トルコ)は、欧州、アジア、中東を結ぶ戦略的なビジネス拠点として、多くの日本企業が進出している重要な市場です。デジタル経済の拡大に伴い、トルコにおける個人データの取り扱いは、企業にとって避けて通れない法的課題となっています。トルコでは2016年に「個人データ保護法 第6698号(Kişisel Verileri Koruma Kanunu、以下「KVKK」)」が施行されました。この法律は欧州連合の一般データ保護規則(GDPR)と多くの類似点を持ちますが、データ管理者登録システム(VERBIS)への厳格な登録義務や、違反に対する刑事罰の適用など、日本法やGDPRとは異なる独自の規制を有しています。特に2024年3月の法改正により、越境データ移転のルールが大幅に変更され、標準契約条項(SCCs)の届出義務など新たな実務対応が必須となりました。
本稿では、KVKKの基本構造から、2024年改正法による最新の越境移転ルール、日本企業が陥りやすいVERBIS登録の落とし穴、そしてTwitchやWhatsAppに対する巨額の制裁事例までを網羅的に解説します。トルコ市場でビジネスを展開する日本企業の経営者および法務担当者が、予期せぬ法的リスクを回避し、コンプライアンス体制を構築するための一助となれば幸いです。
この記事の目次
トルコKVKKの基本構造およびEUのGDPRとの比較
トルコの個人データ保護法制は、2010年の憲法改正により「私生活の秘密」の一部として個人データの保護が憲法上の権利として認められたことに端を発します。その後、EU加盟交渉の一環として法整備が進められ、2016年4月7日にKVKKが施行されました。
KVKKは、その設計においてEUのデータ保護指令(95/46/EC)およびGDPRの影響を強く受けています。例えば、「個人データ」の定義(識別された、または識別可能な自然人に関するあらゆる情報)や、「データ管理者」「データ処理者」の区分、そしてデータ処理の基本原則(適法性、正確性、目的限定、データ最小化、保存制限)は、GDPRとほぼ共通しています。したがって、すでにGDPR対応を済ませている日本企業にとっては、KVKKの多くの概念は馴染み深いものでしょう。
しかし、日本法やGDPRと決定的に異なる点として、「特殊な種類の個人データ(要配慮個人データ)」の定義が挙げられます。KVKK第6条は、人種、民族、政治的思想、宗教などに加え、「外見および服装(Appearance and Dressing)」を特殊な種類の個人データとして明記しています。これは、スカーフの着用など、トルコ固有の宗教的・文化的背景への配慮に基づくものであり、従業員の身だしなみに関するデータを扱う際には特別な注意が必要です。
2024年トルコKVKK改正法による越境データ移転の劇的変化
日本企業にとって最大の実務的影響をもたらすのが、2024年3月12日に官報掲載され、同年6月1日に施行されたKVKK改正法による第9条(越境データ移転)の変更です。旧法下では、越境移転には原則としてデータ主体の「明示的な同意」が必要とされ、実務上の大きな障壁となっていました。今回の改正により、GDPRに近い階層的な移転メカニズムが導入されましたが、手続きにはトルコ独自の厳格さが残されています。
新たな越境移転の3層構造
改正後の第9条は、以下の優先順位で越境移転を認めています。
| 順位 | メカニズム | 概要と日本企業の対応 |
| 第1層 | 十分性決定 | 個人データ保護委員会(以下「委員会」)が、移転先の国やセクターに十分な保護水準があると決定した場合、事前の許可なく移転が可能です。現時点では日本に対する十分性決定は存在しないため、この方法は利用できません。 |
| 第2層 | 適切な保護措置 | 十分性決定がない場合、標準契約条項(SCCs)や拘束的企業準則(BCRs)などの措置を講じることで移転が可能になります。日本企業にとって最も現実的な選択肢はSCCsの締結です。 |
| 第3層 | 一時的な移転 | 上記いずれも利用できない場合に限り、データ主体の明示的な同意などを根拠とする「一時的(incidental)」な移転が認められます。ただし、反復的・継続的な移転(例:従業員データの定期的送信)には利用できません。 |
標準契約条項(SCCs)における「5日ルール」の罠
日本企業が特に注意すべきは、第2層の「標準契約条項(SCCs)」を利用する場合の手続きです。KVKK規則では、当事者がSCCsに署名した後、5営業日以内に委員会へ通知することを義務付けています。GDPRではSCCsの締結自体で足りるのに対し、トルコでは当局への届出が効力要件ではなくとも義務とされており、これを怠った場合は行政罰金の対象となります。
さらに、委員会が公表しているSCCsのテンプレートは、内容の修正や変更が一切認められていません(”as-is”での利用)。GDPRのSCCsを流用することはできず、必ずトルコ当局指定の書式を使用する必要があります。
資料:標準契約および拘束的企業準則に関する文書の公表(トルコ個人情報保護庁)
トルコのデータ管理者登録システム(VERBIS)の厳格な運用
KVKKの特徴的な制度の一つに、データ管理者登録情報システム(VERBIS)があります。これは、データ管理者がどのような個人データを処理しているかを公的レジストリに登録・公開する制度です。
外国企業には「免除なし」
トルコ国内企業に対しては、従業員数や財務規模(年間貸借対照表総額)が一定基準未満の場合に登録免除規定が存在します。しかし、トルコ国外に所在するデータ管理者(日本企業を含む)には、この免除規定が適用されません。
つまり、トルコ国内に居住する個人のデータを処理している日本企業は、従業員数や売上高の規模にかかわらず、VERBISへの登録が必須となります。トルコに現地法人がない場合でも、越境ECやアプリ提供などでトルコ居住者のデータを取得していれば、登録義務が発生する可能性が高い点に留意が必要です。
データ管理者代理人の選任義務
トルコ国外の企業がVERBIS登録を行う場合、自社で直接手続きを行うことはできません。トルコ国内に居住するトルコ市民、またはトルコ国内に所在する法人を「データ管理者代理人(Data Controller Representative)」として選任し、その代理人を通じて登録を行う必要があります。この代理人は、当局との連絡窓口や、データ主体からの要求受付窓口としての機能を果たします。
参考:データ管理者登録簿に関する規則(トルコ個人情報保護庁)
トルコにおけるデータ主体の権利と請求対応プロセス
KVKK第11条は、データ主体に対して以下のような権利を付与しています。これらの権利は日本の個人情報保護法と類似していますが、請求への対応プロセスが具体的に定められています。
- 個人データが処理されているか否かを知る権利
- 処理されている場合の情報を請求する権利
- 処理の目的と、その目的に沿って使用されているかを知る権利
- 国内外の第三者への提供先を知る権利
- 不完全または不正確なデータの訂正を求める権利
- KVKK第7条の条件下でのデータの消去または破棄を求める権利(忘れられる権利)
- 自動化された処理のみに基づく決定により不利益を被った場合の異議申立権
- 違法な処理により損害を被った場合の賠償請求権
データ主体が権利を行使する場合、まずはデータ管理者に対して書面または登録電子メール(KEP)等の方法で申し立てを行う必要があります。データ管理者は、この申し立てに対して30日以内に無料で(別途費用がかかる場合を除く)回答しなければなりません。もし管理者が回答を拒否したり、回答が不十分であったり、期限内に回答しなかった場合、データ主体は委員会に対して苦情を申し立てることができます。
トルコKVKK違反時の制裁:高騰する行政罰金と刑事罰のリスク
KVKK違反に対する制裁は、行政罰金と刑事罰の二本立てとなっており、非常に厳格です。
インフレ率に連動する行政罰金
KVKK第18条に基づく行政罰金は、トルコの「再評価率(Revaluation Rate)」に基づき毎年増額改定されています。近年のトルコにおける急激なインフレを反映し、罰金額は数年前と比較して数倍に跳ね上がっています。
2025年の予測値に基づくと、以下のような高額な罰金が科される可能性があります。
| 違反内容 | 2025年 罰金額(推定範囲) |
| 通知義務(照明義務)違反 | 約 6.8万 ~ 136万 トルコリラ |
| データセキュリティ確保義務違反 | 約 20.4万 ~ 1,362万 トルコリラ |
| 委員会決定の不遵守 | 約 34万 ~ 1,362万 トルコリラ |
| VERBIS登録・通知義務違反 | 約 27.2万 ~ 1,362万 トルコリラ |
| SCCs通知義務違反(新設) | 約 7.2万 ~ 144万 トルコリラ |
資料:2025年のトルコ個人データ保護法に基づく行政罰金(Gen & Temizer | Özer)
経営者が収監される刑事罰のリスク
日本企業が見落としがちなのが、トルコ刑法(Turkish Penal Code No. 5237)第135条から140条に基づく刑事責任です。個人データの違法な記録、提供、または保存期間経過後の不消去は「犯罪」として扱われ、違反した自然人(企業の役員や担当者)には1年から4年の懲役刑が科される可能性があります。行政罰だけでなく、個人の自由が拘束されるリスクがあることは、コンプライアンス体制構築における最大の動機付けとなるでしょう。
資料:トルコ刑法に規定される個人データ保護に関する刑事罰(Erdem & Erdem)
注目すべきトルコKVKK執行事例の分析
KVKKの執行状況を理解するために、近年の主要な摘発事例を紹介します。これらは日本企業にとっても他山の石となるものです。
Twitch(Amazon)情報漏洩事件(2024年11月)
Amazon傘下の配信プラットフォームTwitchにおいて125GBのデータ漏洩が発生し、トルコ国内の約3万5千人に影響を与えた事案です。委員会は、Twitchが漏洩発生前に十分なセキュリティ対策を講じておらず、事後の対応も不十分であったとして、合計200万トルコリラの行政罰金を科しました。この事例は、単に漏洩した事実だけでなく、事前のリスク評価や予防措置の欠如が処罰対象となることを示しています。
WhatsApp強制同意事件(2021年9月)
WhatsAppが利用規約の更新に際し、ユーザーに対して「データ処理および海外移転への同意」をサービス利用の条件とした事案です。委員会は、これを「自由な意思に基づく同意ではない(bundled consent)」と判断し、195万トルコリラの罰金を科しました。サービスの利用とデータ処理の同意を不可分に結びつける手法(「同意しなければ使わせない」)は、トルコでは違法とみなされる可能性が高いことを示唆しています。
Facebook APIバグ事件(2019年)
APIのバグにより、ユーザーが非公開設定にしていた写真にアプリ開発者がアクセス可能となった事案で、委員会は165万トルコリラの罰金を科しました。技術的なバグであっても、適切なテストや監査が行われていなければ、セキュリティ義務違反として厳しく問責されます。
トルコ市場で日本企業がとるべきコンプライアンス戦略
トルコ市場に進出する、あるいはすでに進出している日本企業は、以下のステップで対応を見直す必要があります。
第一に、VERBISへの登録状況の確認です。特にトルコ国外からサービスを提供している日本企業は、従業員数などの免除基準が適用されないため、現地代理人を選任し、速やかに登録を完了させる必要があります。
第二に、越境データ移転の法的根拠の再構築です。2024年9月1日をもって、旧法に基づく同意のみによる継続的なデータ移転の経過措置は終了しました。日本本社へのデータ移転がある場合、早急にKVKK準拠の標準契約条項(SCCs)を締結し、署名後5営業日以内に委員会へ通知する体制を整える必要があります。
第三に、刑事罰リスクへの対応です。現地法人の代表者やデータ管理責任者は、データの保存期間管理(廃棄義務の履行)を徹底する必要があります。「消し忘れ」が懲役刑につながるリスクを認識し、自動削除の仕組みなどを導入することが推奨されます。
まとめ
トルコのKVKKは、GDPRの枠組みをベースとしつつも、国家による登録管理(VERBIS)や刑事罰の適用など、より強力な執行権限を背景とした法規制です。特に2024年の改正法により、越境データ移転の手続きは明確化されたものの、SCCsの届出義務など形式的な要件は依然として厳格です。違反時のコストは、インフレによる罰金額の高騰と刑事リスクにより、年々増大しています。日本企業がトルコで持続可能な成長を実現するためには、現地の法規制に即した精緻なデータガバナンスが不可欠です。
モノリス法律事務所では、IT・クロスボーダー法務の専門知識を活かし、VERBIS登録、SCCsの作成・届出、社内データ保護規定の整備など、貴社のKVKKコンプライアンスを包括的にサポートいたします。
カテゴリー: IT・ベンチャーの企業法務
