コンテンツへスキップ
Turkey Data Protection Landscape in 2025
Category background for 2025年のトルコのデータ保護環境 — 国際企業が知っておくべきこと
Article トルコKVKK

2025年のトルコのデータ保護環境 — 国際企業が知っておくべきこと

Elif Merve Demir
Elif Merve Demir
1 min read
Placeholder image

2016年にKVKKが施行されて以降、トルコのデータ保護法への対応を取り巻く状況は、国際企業にとって継続的に変化してきました。KVKKの基本的な考え方自体は大きく変わっていないものの、ここ3年ほどで規制当局の活動や市場全体の成熟度は大きく進んでいます。2025年には、ガイダンス、制裁金、執行のいずれも強化され、非トルコ企業のデータ管理者(Data controller)や処理者(Data processor)に対する当局の注目も、国際データ移転やセキュリティ実務といった領域へ広がっています。

この記事では、次の点を取り上げます。最近のトルコ個人データ保護法の変更点、執行動向がどのように変化してきたか、そしてトルコにいる個人の個人データを取り扱う国際的な組織が何を理解しておくべきか、という点です。

KVKK要件の変化

非トルコのデータ管理者(Data Controller)企業にとって、トルコ国内のKVKK代理人の選任とVERBİS登録は、以前から必要とされてきた義務です。ただし、制度は今も発展を続けています。その一例が、トルコ個人データ保護当局が2025年に公表したCross-Border Data Transfer Guideです。

このガイドでは、越境データ移転の法的根拠を選ぶ際に、保護の十分性をどのように評価すべきかについて、段階的な評価方法がより詳しく示されています。また、データ移転そのものと、外国の第三者に対する個人データの直接収集・開示とを明確に区別しています。

さらにこのガイドは、十分性認定がない場合に、データ管理者が用いる主要な保護措置の一つとして標準契約条項(SCCs)をどう使うかについても、具体的な指針を示しています。加えて、SCCsを締結した場合には、契約書およびその付属文書のアポスティーユ付き・翻訳付きの書類を添えて、5営業日以内にKVKKへ通知しなければならないとしています。こうした点からも、規制枠組みは固定的なものではなく、外国のデータ管理者には、新しい手続に形式的に従うだけでなく、それに実質的に対応していることまで求められていることが分かります。

監督と執行の動向

トルコ個人データ保護当局は、従来のガイダンス中心の姿勢から、より積極的な執行へと軸足を移しています。2024年8月には、KVKKのVERBİS登録義務に違反したとして16,350の組織が調査され、総額503,935,000トルコリラ(約1,400万ユーロ)の制裁金が科されました。

これらの制裁は、国内のデータ管理者だけでなく、外国のデータ管理者にも適用され、公的機関も例外ではありませんでした。これは、当局の執行姿勢が大きく転換したことを示すものであり、現在では登録義務だけでなく、データセキュリティ、同意管理、越境移転の仕組みにまで監督の対象が広がっています。さらに、他の規制当局との連携も強まっているようです。2025年には、KVKK当局とCapital Markets Boardが協力に関するプロトコルに署名しており、これは、今後より広い規制の連携が進む兆しである可能性があります。とりわけ、個人データを取り扱う金融機関や上場企業にとっては重要な動きです。

現在、企業は特に次の点について確認される傾向があります。

  1. 各処理活動について適切な法的根拠を備えているか
  2. データ主体に対して明確で透明性のある情報提供をしているか
  3. 合理的な技術的・組織的安全管理措置を実施しているか
  4. データ主体の権利を実務上きちんと尊重しているか
  5. 国際データ移転を適用ルールに沿って管理しているか

不遵守によるリスクと影響

執行の強化に伴い、制裁金の水準も引き上げられています。2025年には、KVKK違反に対する行政制裁金の額が引き上げられ、現在の適用レンジは68,083トルコリラから1,360万トルコリラまでとなりました。これは43.93%の増加です。制裁金は、代理人の未選任やデータ侵害など、さまざまな違反行為に対して科され得ます。

また、KVKKへの適合を示せることは、実務上もますます重要になっています。執行によるレピュテーション上の影響も軽視できません。トルコで事業を行う外国企業に対しては、より高い運用上の説明責任が求められる方向に進んでおり、苦情やインシデントが生じた場合には、検査や監査の要請を受ける可能性もあります。

執行事例の傾向

当局の介入が強まっていることを示す事例として、いくつかのケースが挙げられます。

  • 2023年には、MetaとWhatsAppがVERBİS登録を完了しなかったことを理由に、それぞれ約260万トルコリラの制裁金を科されました。両社には、さらなる措置に進む前の最終的な対応期限も示されていました。
  • 2024年には、大規模調査の結果、KVKKの登録義務に違反した16,000を超える事業体に対して、総額5億トルコリラ超の制裁金が科されています。
  • また同年、Twitchは、35,000人を超えるトルコ国内ユーザーに影響を与えたデータ侵害に関して、200万トルコリラの制裁金を科されました。これは、データセキュリティ実務への監督が強まっていることを示しています。

こうした事例からも、当局の関心が、単なる事務的義務の不履行から、より実質的なデータ保護上の問題へと広がっていることが分かります。

KVKK代理人の役割

KVKKにおける要求事項は広がっていますが、トルコ国内の代理人の選任は、今も中核的な義務の一つです。トルコに法人を持たない外国のデータ管理者(Data controller)は、自らVERBİS登録を行うことはできません。代理人は、KVKK当局およびトルコのデータ主体に対する主要な連絡窓口として機能します。

この選任は、公証とアポスティーユを経た委任状、またはそれに相当する文書によって正式に行う必要があります。当該文書は、管理者の権限ある機関によって発行され、代理人に付与される権限と責任の範囲を明確に定めていなければなりません。この代理人制度は、外国企業に対する当局の監督や法執行を実効的にするうえでも重要な仕組みとなっています。

結論

2025年においてKVKKコンプライアンスを満たすということは、単に手続のチェックリストを埋めることではありません。データ移転の仕組みに関する期待や国際的なルールがより厳しくなる中で、国際企業には、より戦略的で、一体的な対応が求められています。

トルコ当局による監視は今後さらに強まり、業種ごとの介入も増え、不遵守に伴う金銭的影響も大きくなると見込まれます。企業は、トルコ国内の代理人の選任、適法な国際データ移転、透明性要件への対応といった中核的義務を確実に満たし、事業上の混乱を避けるとともに、トルコの関係者からの信頼を維持しなければなりません。トルコのデータ保護法上の義務への対応について支援が必要な場合は、Prighterの専門家との無料相談を予約し、どのようなサポートが受けられるかをご確認ください。

About the Author

Elif Merve Demir

Elif Merve Demir

プライバシースペシャリスト

Elifは、Prighterでデータ保護およびデジタルガバナンスのスペシャリストとして活躍しています。
トルコの法学部を卒業後、イギリスにて情報技術および知的財産法のLLM(修士課程)を修了。これまでにトルコとイギリスで、ガバナンスやコンプライアンス業務に携わってきました。その経験を活かし、Prighterではトルコ法に関する取り組みや製品開発をリードするとともに、EUおよびUKのデータ保護・デジタルガバナンスに関するアドバイスも行っています。