トルコのKVKKと2024年改正:2026年におけるクッキー同意、国境を越えたデータ移転、明示的同意に関するパブリッシャー・広告主ガイド
トルコの個人データ保護法(KVKK、Law No. 6698)は2016年から施行されていますが、その10年間の大部分において、GDPRの静かないとこのように機能していました——構造は明らかに似ているものの、執行は著しく穏やかでした。その時代は終わりました。2024年3月12日に官報で公布された2024年KVKK改正は、GDPRスタイルの十分性認定および標準契約条項と整合させるために国境を越えたデータ移転体制を再編し、KVKK委員会(Kişisel Verileri Koruma Kurulu)は2025年を通じて2026年にかけて執行を大幅に強化しました。トルコのユーザーデータを処理するあらゆるパブリッシャー、広告主、プラットフォーム——トルコ国内に拠点を置く企業も海外からトルコ市場にサービスを提供する企業も——にとって、2026年は最新の同意スタックが「あれば良い」ものから基準となる年です。このガイドでは、改正された法律の内容、クッキー同意が実際に何を求めているか、国境を越えたデータ移転が現在どのように機能するか、そして委員会の執行が実際にどのように見えるかを解説します。
2024年改正後のKVKKの構造
KVKKはトルコにおける主要なデータ保護法であり、改正されたテキストが現在の参照点となっています。2024年以前のバージョンを参照してきたパブリッシャーは、古いフレームワークを見ていることになります。
2024年改正が変えたもの
主要な変更点は、国際データ移転を規定する第9条の改正でした。2024年以前の体制は悪名高いほど満たすのが困難で——ほぼすべての国境を越えたデータフローに対して明示的同意または個別の委員会承認が必要であり、現代のアドテクスタックにとって実行不可能でした。改正された第9条は、移転メカニズムの三段階を導入しています:委員会による十分性認定決定、標準契約条項を含む適切な保護措置のセット、そして限定的な場合における適用除外のセット。これにより、トルコの移転法がGDPRパターンとついに整合し、ベンダーごとの委員会申請なしにプログラマティック広告の国際的なコンプライアンスが可能になります。
変わらなかったもの
中核的な定義、適法根拠、データ主体の権利、センシティブデータに対する明示的同意基準は以前のままです。トルコの明示的同意の基準は、実際にはGDPRの基準よりも厳しく、これが多くのパブリッシャーのコンプライアンスギャップが依然として存在する領域です。
VERBISレジストリ
一定の閾値を超えるデータ管理者——スケールでトルコの個人データを処理するほとんどの海外管理者を含む——は、データ管理者レジストリ(VERBIS)に登録する必要があります。登録には処理活動、適法根拠、移転メカニズムの開示が必要です。多くの海外パブリッシャーはVERBIS登録を歴史的に省略してきましたが、委員会はこれについて2025年および2026年を通じてより積極的な姿勢を示しています。
KVKKの下で個人データとみなされるもの
KVKKの個人データの定義は広く、GDPRと密接に一致しています。個人データとは、識別された、または識別可能な自然人に関するあらゆる情報であり、委員会のガイダンスは、クッキー、広告識別子、IPアドレス、デバイスフィンガープリントを、直接またはリーズナブルな手段でユーザーに結びつけることができる場合に個人データとして一貫して扱っています。
センシティブな個人データ
KVKKのセンシティブカテゴリのリストはGDPRよりも広く、人種、民族的出自、政治的意見、哲学的信念、宗教、宗派、外見、協会や財団の会員資格、健康、性生活、刑事有罪判決、安全保障措置、そして生体認証データおよび遺伝データを明示的に含んでいます。これらのいずれかを処理するには明示的同意が必要です——曖昧または一括された種類ではなく、特定のセンシティブ処理に結びついた具体的で、インフォームドで、自由に与えられた同意です。
クッキーにとってこれが重要な理由
セッションIDのみを保存するクッキーは基本的な個人データです。リベラルな有権者や敬虔な宗教的コミュニティのようなオーディエンスセグメントに情報を提供するクッキーは、トルコの定義ではセンシティブな個人データであり——必要な同意設定は明示的同意またはなしです。KVKKのセンシティブリストに触れるオーディエンスセグメントをターゲットにしているパブリッシャーは、一般的な広告同意の下でそれらのセグメントを実行すべきではありません。
2026年のKVKK下でのクッキー同意
委員会のクッキーに関する立場は過去2年間で厳しくなっています。現在のガイダンスは明確です:個人データを処理するクッキーおよびトラッキング技術は、ユーザーが要求したサービスに厳密に必要でない限り同意が必要です。
有効な明示的同意の4要素
トルコの明示的同意は次の条件を満たさなければなりません:
- 特定の主題に関連している——不特定の将来の処理をカバーする一般的な包括同意は有効ではない
- インフォームドである——ユーザーはどのデータが処理されるか、何の目的で、誰によって、どのくらいの期間かを理解している
- 自由に与えられている——ユーザーはそれ以外に権利があるサービスを拒否されることなく断ることができる
- 明確な肯定的行為によって表明されている——事前にチェックされたボックス、黙示的同意、スクロール同意はすべて無効
準拠したCMPの見た目
2026年のトルコトラフィック向けに設定されたCMPは次のものを提示する必要があります:
- 非必須クッキーが発動する前に表示される視認可能なバナー、トルコユーザー向けにデフォルトでトルコ語(Türkçe)
- 同意する、拒否する、カスタマイズするの等しい視覚的目立ち——委員会は拒否が同意よりも目立たないバナーデザインを具体的に指摘している
- 目的ごとの詳細なトグル:分析、広告、パーソナライゼーション、国境を越えた移転、センシティブカテゴリ処理
- 最初の選択後に同意を撤回するための持続的でアクセスしやすいメカニズム
- 管理者の身元、目的、受取人、保持、権利を開示するトルコ語のAydınlatma Metni(プライバシーノーティス)
- センシティブカテゴリ処理のための独自のアクションで制限された、別個の明確にラベル付けされた明示的同意フロー(açık rıza)
同意記録
管理者は同意の記録——誰が、いつ、何に、どのインターフェースを通じて同意したか——を維持しなければなりません。KVKK委員会は複数の執行措置において不十分な同意ログを指摘しており、エクスポート可能なタイムスタンプ付きログが基本的な期待です。
2024年第9条の下での国境を越えたデータ移転
2024年の改正は、GDPRのアプローチを反映した三段階の移転フレームワークを導入しました。どの段階がどのフローに適用されるかを理解することは、2026年の海外パブリッシャーにとって最も一般的なコンプライアンスギャップです。
第1段階——十分性認定決定
委員会は国、国際機関、または国のセクターを十分な保護を提供するものとして指定することができます。適切な目的地への移転は追加のメカニズムなしに許可されます。2026年初頭の時点で、委員会は徐々に十分性認定決定を発行していますが、米国を広く指定するには至っていません。
第2段階——適切な保護措置
十分性認定がない場合、移転は適切な保護措置に基づいて許可されます。改正は特に委員会が承認した標準契約条項、グループ内移転のための拘束力のある企業規則、委員会が承認した行動規範または認証メカニズムを想定しています。委員会の標準契約条項は2024年に公布され、ほとんどのパブリッシャーにとっての主要な作業メカニズムです。
第3段階——適用除外
臨時移転、契約履行に必要な移転、またはユーザーが明示的に同意した移転には限定的な例外が存在します。これらは継続的なプログラマティックフローの主要な適法根拠として使用することはできません。
パブリッシャーへの実際的な示唆
典型的なプログラマティックスタックは、入札ごとにクッキー由来のデータを数十の海外ベンダーに送信します。これらのフローそれぞれが国境を越えたデータ移転です。2026年の実行可能なアプローチは、各国際処理者と委員会が承認した標準契約条項を締結し、Aydınlatma MetniとVERBIS登録に移転メカニズムを文書化することです。2024年以前の移転ごとの明示的同意ロジックに留まってきたパブリッシャーは、コンプライアンスリスクにおいて過剰にさらされると同時に、マネタイズの機会において活用不足です。
データ主体の権利
トルコのデータ主体は、KVKKフレームワークを通じて適用されるGDPRにある権利の完全なセットを持っています:
- 自分のデータが処理されているかどうかを知る権利
- 処理されたデータへのアクセス権
- 不正確なデータの訂正権
- 処理がもはや正当化されない場合の消去または匿名化の権利
- データが開示された第三者について通知を受ける権利
- 不利な効果をもたらす自動化された決定に異議を申し立てる権利
- 違法な処理によって引き起こされた損害に対する賠償権
回答期間
管理者はデータ主体の要求に30日以内に回答しなければなりません。データ主体は管理者の回答が不十分な場合KVKK委員会に申し立てることができ、委員会は決定に60日の期間があります。30日の期間に対する運用準備——手順書、ツール、トルコ語の回答テンプレート——は海外パブリッシャーにとって一般的なギャップです。
2026年の罰則と執行姿勢
KVKK委員会は最初の数年間比較的静かでしたが、執行を大幅に強化しました。2025年の罰金総額は法律施行以来最高であり、2026年も同様の軌道にあります。
行政罰金
行政罰金はインフレに毎年連動しています。2026年時点で最も深刻な違反の上限は違反ごとにTRY 4000万を超え、データセキュリティ、通知、VERBIS登録、委員会決定に関する失敗には別々の上限が適用されます。海外管理者は2025年のいくつかの措置で範囲の上部で罰金を科されています。
評判上のリスク
委員会はウェブサイトに執行決定の要約を公表しています。海外パブリッシャーへの罰金はトルコのテクノロジープレスで定期的に取り上げられており、公開されたKVKK決定の評判コストは通常罰金自体よりも高くなります。
執行テーマ
委員会の2025年および2026年初頭の措置は、少数の繰り返し問題を中心に集まっています:欠如または曖昧なクッキー同意、不十分なAydınlatma Metni、VERBISへの未登録海外管理者、2024年以前のフレームワークを使用した違法な国境を越えたデータ移転。
2026年トルコトラフィックの監査チェックリスト
- CMPバナーはトルコユーザーに対してトルコ語で提供され、同意する、拒否する、カスタマイズするが等しい視覚的目立ちを持っている
- 同意目的は詳細であり、センシティブカテゴリ処理をその独自の明示的同意フローの後ろに分離している
- 同意ログはタイムスタンプ付き、エクスポート可能で、少なくとも処理期間に監査可能なマージンを加えた期間保持されている
- Aydınlatma Metniは管理者、処理者、目的、保持、権利の完全な開示をトルコ語で利用可能
- 管理者が閾値を超える場合、VERBIS登録は完全で最新
- 国境を越えたデータ移転は2024年の標準契約条項または別の有効な第9条メカニズムに依存し、Aydınlatma Metniにメカニズムが文書化されている
- データ主体要求ワークフローはエンドツーエンドで30日以内にトルコ語で回答できる
- ベンダーリストが見直され、未使用または冗長なベンダーがリスクを軽減するために削除されている
2026年の見通し
トルコのデータ保護体制は形式においてヨーロッパのフレームワークに追いつき、執行においても急速に追いつきつつあります。2024年の改正は現代の国際アドテクにおける最大の構造的障壁——旧来の移転体制——を除去し、委員会はその後の2年間を法律の残りの執行に集中させてきました。GDPRグレードの同意スタックを持つパブリッシャーは、トルコ対応になるために比較的小さな調整が必要です:トルコ語のCMPと通知、該当する場合はVERBIS登録、2024年標準移転条項、そしてより広いセンシティブデータリストへの注意。トルコを軽めの市場として扱ってきたパブリッシャーは、2026年が2025年よりも高コストであり、2027年が2026年よりも高コストであることに気づくでしょう。ギャップは優先順位が付けられれば数週間で埋めることができます——そして優先すべきです。