トルコKVKK：VERBIS登録の完全ガイド

トルコの個人データ保護法であるKVKK（Law No. 6698）は2016年に施行されました。基本原則の多くは、EU GDPRの考え方と共通しています。

この法律に基づく重要な義務の一つが、トルコにおけるdata controllerの公式デジタル登録簿であるVERBISへの登録です。一般に、トルコで個人データを収集または処理する事業者、あるいはトルコにいる個人に関するデータを取り扱う事業者は、データ管理者（data controller）に該当し、登録が必要になります。

この記事では、以下の点を解説します。

• VERBISとは何か？
• VERBIS登録の対象となる事業者とは？
• VERBIS登録はどのような流れで進むのか？
• 登録しなかった場合に何が起こるのか？
• KVKKの域外適用のもとで、外国企業が義務を果たすために必要な対応とは？

VERBISとは何か、どのように機能するのか

VERBIS（Data Controllers’ Registry Information System）は、トルコの個人データ保護当局であるKVKK Authorityが運営するオンラインプラットフォームです。データ管理者（data controller）はここで、自社の個人データ処理活動を登録します。誰がTürkiyeで個人データを処理しているのか、また、どのような目的で処理しているのかを公的に示すデータベースとして機能しており、透明性とKVKKへの適合を支える仕組みです。

各登録には、連絡先情報、処理目的、データのカテゴリー、移転、セキュリティ措置、保存期間などの主要情報が含まれます。個人は、VERBISのウェブサイト上にある「Sicil Sorgulama」機能を通じて、これらの情報を確認できます。

VERBIS登録の対象となる事業者とは

すべての事業者に登録義務があるわけではありませんが、トルコに関連する個人データを取り扱う多くのデータ管理者には登録義務があります。誰が登録対象になるかは、KVKKおよびData Controllers’ Registryに関する規則によって定められています。

トルコに設立されているデータ管理者 

• トルコ国内の組織は、従業員数が50名を超える場合、または年間貸借対照表が1億トルコリラ（TRY）を超える場合に、VERBISへの登録が必要です。当局の免除決定により、従業員数が50名未満、または貸借対照表が1億TRY未満のデータ管理者は、主たる活動として特別カテゴリーデータを処理していない限り、免除されます。逆にいえば、どちらか一方でも基準を超える場合は、登録が必要です。
• 主たる活動が特別カテゴリーデータの処理であるデータ管理者については、従業員数が10名以上、または年間貸借対照表が1,000万TRY以上であれば登録が必要です。この場合、両方の基準がそれぞれの閾値を下回っているときに限って免除されます。この改正は、2025年10月1日に施行されました（Decision No. 2025/1572）。
• これらの基準は毎年評価されます。たとえば、1年12か月のうち少なくとも7か月で従業員数が該当する上限（10名または50名）を超えていれば、登録が必要になります。この7か月は連続している必要はありません。また、年次財務諸表のいずれかの側面が該当する基準額を超える場合も、登録義務が生じます。
• 外国企業がトルコで支店や連絡事務所を通じて事業を行っている場合、そのトルコ法人等は自らの名義で登録しなければなりません。一方、外国の親会社については、それ自体がデータ管理者に該当する場合に限り、トルコの代理人を通じて別途登録が必要になります。KVKKにおける「データ管理者」とは、個人データ処理の目的および手段を決定する自然人または法人を指します。そのため、処理の目的と手段を決定する各主体ごとに登録が必要です。

トルコに設立していないデータ管理者

トルコにいる個人の個人データを処理する外国組織は、トルコにおける「データ保護代理人」を通じてVERBISに登録しなければなりません。この義務は、組織の規模や処理するデータ量にかかわらず適用されます。

海外にデータを移転するデータ管理者

個人データをトルコから他国へ移転する場合、その移転はVERBIS登録の中で申告しなければなりません。もっとも、登録義務そのものが生じるかどうかは、データ管理者がトルコに設立されているかどうか、また、免除の対象になるかどうかによって決まります。

VERBIS登録の進め方：ステップ解説

VERBIS登録はオンラインで完了できます。以下は、登録を進める際の基本的な流れです。

1. VERBIS Portalにアクセスする

まず、KVKKのウェブサイト、またはverbis.kvkk.gov.trから公式のVERBISシステムにアクセスします。アカウントを作成するか、既存アカウントでログインする必要があります。

• トルコ企業は、自社情報を使ってシステムにアクセスします。
• 外国企業は、トルコで選任した代理人を通じてVERBISにアクセスします。

なお、当局が課す公式のVERBIS登録手数料はありません。また、登録は個人データの処理を開始する前に完了していなければならず、後から行えばよい手続ではありません。あくまで事前のコンプライアンス対応として位置づけられています。

2. 連絡担当者または代理人を選任する 

登録の一環として、所定の役割を担う人物または主体を指定する必要があります。

トルコ企業の場合は、İrtibat Kişisi（連絡担当者）を指定します。これはKVKK Authorityとの連絡窓口となる者で、通常は従業員やDPO（データ保護監督者）が務めます。ただし、この人物が個人的にコンプライアンス責任を負うわけではありません。あくまで当局との連絡窓口にすぎず、データ管理者自身の法的責任を代替したり、限定したりするものではありません。

外国企業の場合は、トルコ国内の代理人を選任しなければなりません。この代理人は、トルコ法人、またはトルコに居住するトルコ国民である必要があります。そして、データ管理者に代わってVERBIS登録を行います。VERBISのための代理人選任には、取締役会決議または権限授与書が必要であり、これには原本署名（wet-ink）、データ管理者所在国における公証、さらにアポスティーユが求められます。

その後、原本書類をトルコの現地代理人に送付し、VERBIS登録を完了させます。この手続では、デジタルコピーやスキャンデータは受け付けられません。

3. 個人データ処理に関する情報を準備し、入力する

ログイン後の中心的な作業は、自社の個人データ処理活動を説明する定型フォームを入力することです。その前提として、社内の個人データ処理の一覧を整えておくことが重要です。これにより、より正確に登録を進められます。

VERBISでは、主に以下の項目について情報の入力が求められます。

• Kişisel Veri İşleme Amaçları（個人データの処理目的）
• Veri Kategorileri（データのカテゴリー）
• Veri Konusu Kişi Grupları（データ主体のグループ）
• Alıcı Grupları（提供先グループ）
• Saklama Süreleri（保存期間）
• Yabancı Ülkelere Aktarım（外国への移転）
• Veri Güvenliği Tedbirleri（データセキュリティ措置）

各項目について、自社の内部記録や保存ポリシーに沿って、該当する情報を選択または入力していきます。該当しない場合は、その旨を示すことも可能です。ここで入力した内容は公開される登録情報の一部になるため、正確かつ漏れのない記載が重要です。

4. 登録内容を提出し、確認する

すべての項目を入力したら、内容を慎重に見直します。VERBISでは、最終確認用のサマリーレポートが表示されます。問題がなければ、その内容を承認し、VERBISポータルを通じて当局に提出します。

提出が正常に完了すると、通知を受領したことを示すメッセージが表示されます。受理されると、登録ステータスは有効なものとして表示され、VERBIS登録が完了したことが確認できます。

その後、企業の登録情報は公開用のVERBISの登録情報照会ページに表示され、基本情報を第三者が確認できるようになります。紙の証明書は発行されません。オンライン上の登録表示そのものが、登録完了の証拠になります。社内記録用として、確認画面のコピーやスクリーンショットを保管しておくとよいでしょう。

また、個人データ処理活動に変更があった場合は、その都度VERBIS上の登録内容も更新する必要があります。

VERBISに登録しなかった場合、どうなるのか 

VERBISへの未登録は、Türkiyeの個人データ保護法に対する重大な違反とみなされます。登録を怠った企業、あるいは登録を遅らせた企業には、高額の行政制裁金が科される可能性があります。2025年時点では、この種の違反に対する制裁金の額は、事情や当局による年次評価に応じて、TRY 272,380からTRY 13,620,402までの範囲とされています。KVKK Authorityはデータ処理の停止を命じることもできますが、実務上は制裁金が最も一般的なペナルティです。

重要なのは、このルールが実際に執行されているという点です。当局は適合状況を監視しており、トルコ企業だけでなく、トルコにわずかな関与しかない外国企業に対しても制裁金を科しています。執行は、当初の登録期限であった2021年12月31日以降に始まっており、単に登録を怠った場合だけでなく、登録の遅延や継続的な不適合についても制裁の対象になっています。違反状態が続く場合や繰り返される場合には、追加の制裁金が科される可能性もあります。

PrighterがどのようにKVKK対応を支援するのか

トルコに物理的拠点を持たない外国企業にとって、VERBIS登録を含むKVKK上の義務への対応は容易ではありません。そうした場面で重要になるのが、PrighterのKVKK 代理人サービスです。

Prighterは、外国データ管理者に法律上求められるTürkiyeにおける認定代理人として機能します。チームは、データマッピング情報の収集と整理から始めて、権限授与書に必要な公証およびapostille手続の案内、初回登録の実施、さらに処理活動の変化に応じた継続的な更新まで、VERBIS登録の全体を包括的に支援します。

また、Prighterは代理人として、トルコの個人データ保護当局だけでなく、個人データに関して企業へ連絡してくるトルコ国内の個人に対する主要な窓口にもなります。当局からの照会や調査への対応を補助し、データ主体からのアクセス請求や削除請求などのコミュニケーションにも対応します。

Prighterのサービスを利用することで、外国企業にトルコに現地オフィスを設けたり、煩雑な手続に自ら対処したりすることなく、トルコの個人データ保護要件に対応できます。Prighterのローカルな知見は、円滑なコンプライアンス対応を可能にし、プライバシーへの真摯な姿勢を示すことで、トルコの顧客や規制当局との信頼構築にもつながります。

貴社のKVKK対応についてご相談されたい場合は、ぜひPrighterの専門家との無料相談をご予約ください。

Sources 

1. Kişisel Verileri Koruma Kurumu (Turkish Personal Data Protection Authority) - VERBİS (Data Controllers’ Registry) 
   https://verbis.kvkk.gov.tr/

1. Kişisel Verileri Koruma Kurumu (Turkish Personal Data Protection Authority) - By-Law on Data Controllers’ Registry 
   https://www.kvkk.gov.tr/Icerik/6635/By-Law-On-Data-Controllers-Registry

1. Kişisel Verileri Koruma Kurumu (Turkish Personal Data Protection Authority) -VERBİS with Questions (October 2025) 
   https://verbis.kvkk.gov.tr/sharedFolder/sorularla-verbis.pdf?ts=20251006

1. KVKK Board Decision No. 2025/1572, published in the Official Gazette on 1 October 2025 (No. 33034) -https://www.resmigazete.gov.tr/eskiler/2025/10/20251001-4.pdf