M&Aディールを支えるサイバーセキュリティとは ブックマークが追加されました
日本国内の人口減少に伴う国内市場からグローバル市場への事業拡大、サプライチェーンの強化などを目的に、日本企業によるM&Aは増加するものと想定されます。
買い手企業にとっては買収により経営戦略において期待した効果を上げることが成功といえます。このため、『デューデリジェンス(Due Diligence、DD、買収監査)』において阻害要因となりうるリスクの洗い出しが重要な要素であり、その内容によってはディールの停止や経営戦略の見直しが行われます。
DDは買収先企業の財務やITシステムなどを対象に行われることが一般的です。しかしながら、近年の重大な経営アジェンダであり、事業に多大な影響が懸念されるサイバーセキュリティを観点としたDDを実施する企業は多くありません。
その理由として、M&Aディールのプロセスは短期間に複雑な判断が求められるため今以上の評価観点の追加が困難であることや、M&A実務に携わる従業員がサイバーセキュリティに関するスキルを有していないことなどが想定されますが、今後ますますサイバーセキュリティの重要性が増す中で看過し続けることができない重要なテーマであると考えます。
本ブログでは、サイバーセキュリティの観点によるM&Aディール評価のポイント、買い手の経営層およびM&A実務担当部署に求められる役割を解説します。
M&Aのプロセスは契約成立前のPre-dealと成立後のPost-dealに分けられます。Pre-dealは初期的検討、DD、最終契約書・交渉、クロージングの4つのプロセスで構成され、特にDDにおけるサイバーセキュリティに関する適切な評価が必要です。一方、Post-dealはPost-Merger Integration(PMI、M&A後の統合プロセス)準備、PMI Planning、PMI Executionの3つのプロセスで構成され、全てのプロセスでサイバーセキュリティに関する施策の遂行が必要です。
Pre-dealにおけるサイバー対応は、投資対象企業のセキュリティレベルを把握し、投資の判断材料として取り入れることで、買収後の企業価値の引き下げやレピュテーションリスクなどのセキュリティリスクによる経済的な被害を事前に防止することを目的としています。
上記目的のためにサイバーDDが必要となる一方、短期間に複数のDDを実施する状況の中で、サイバーに焦点を当てられる期間は限られています。その状況において事前準備とサイバーDDの期間にて、以下3つのアクションを実施することが望ましいです。
<事前準備>
<サイバーDD期間中>
サイバーDDを行わず買収判断をしたある大手企業のM&Aでは、重大なセキュリティ脆弱性が潜在することを発見できず、結果として買収後に個人情報の漏洩にかかる罰金および追加のセキュリティ対策として約数百億円の大幅な追加投資が必要となりました。
Post-dealにおけるサイバー対応は、異なるセキュリティ体制を統合し、共通のセキュリティレベルを確保することで、リスクを予測可能な範囲に収めることを目的としています。具体的な実施策として、まず統合後のセキュリティを確保するために、以下を通じてDay1(統合日)に向けたサイバーセキュリティ戦略を立案する必要があります。
次に、ビジネスシナジーの最大化を図るために、Day X(Day1後)のサイバーセキュリティ戦略を立案することが不可欠です。以下が具体的なアプローチとして考えられます。
Pre-dealとPost-dealの両段階でサイバーセキュリティに取り組むことにより、ビジネスリスクを軽減し、セキュリティ対策を整合させ、当初計画されたM&Aの目的達成がサイバーセキュリティ面において実現できます。
M&Aを行う際に、Pre-dealにおいてはDDに、Post-dealにおいてはPMIのプロセスにサイバーセキュリティの観点を取り入れることが肝要であると前項でお伝えしました。
M&Aの各フェーズには様々なステークホルダーが関わりますが、その中でも重大な意思決定に携わる経営層および、具体的なサイバーリスクに関する情報収集や対策を行う実務担当部署が、それぞれ担う役割とアクションを説明します。
経営層の役割は、様々なリスクを考慮し的確な意思決定を行うことです。意思決定を行う上では必要な情報があるかどうか確認することも重要となるため、サイバーセキュリティの必要性をM&A実務担当部署に伝えることも経営層の役割となります。本ブログでは経営層による判断・指示により、買収後の重大なセキュリティインシデントの回避・低減につながるPre-dealに焦点を当てご紹介します。
Pre-Dealにおける経営層に求められるアクションは、M&Aに係る意思決定においてサイバーリスクを適切に考慮することといえます。サイバーリスクの考慮は、適正な買収価格の算定や、ディール存続を検討する要素となりえ、サイバーインシデントに伴う顧客基盤の棄損、レピュテーションリスク、経済的損失などを軽減する判断に繋がります。このような意思決定を行う為には判断材料が必要なため、M&A実務担当部署や関連部署に対してサイバーリスクに関する情報を要求します。また、意思決定に必要な情報が揃っているかの確認も行い、実務担当部署などから得た情報に漏れがあった場合は、それを指摘することも必要です。
限られたM&Aディールの期間内で得られる最大限のサイバーリスクに関する情報を基に、ディール存続の検討、買収価格、統合計画などについて意思決定を行います。
M&A実務担当部署は、Pre-deal段階では経営層が意思決定を行う上で必要なサイバーセキュリティに関わる情報を収集し、適宜連携することが役割となります。Post-deal段階の役割は、サイバーDDで得られた情報も含め統合後に求められるあるべきサイバーセキュリティ対策のグランドデザインを描き、場合によっては段階的にその状態を実現することで、結果としてM&Aにおけるサイバーリスクを最小化することです。
M&A実務担当部署は、Pre-deal期間においては以下のようなタスクを実施し、結果を意思決定の材料として経営層に速やかに報告します。
Post-deal段階では以下のようなタスクを実施し、残存しているサイバーリスクの最小化や、移行期間におけるインシデント発生確率を低減させる対策をとります。
M&Aディールが成功する(想定された利益を得られること)ためには、サイバーセキュリティの観点も取り込むことが重要であることを紹介しました。サイバーリスクを低減し、あるべきサイバーセキュリティ対策を実現するためには、経営層および実務担当部署など関連するステークホルダーが連携し推進する必要があるといえます。
山本 梓/Azusa Yamamoto
デロイト トーマツ サイバー合同会社
デロイト トーマツ サイバー合同会社に参画後、主に金融業界に向けたサイバーセキュリティに関するアドバイザリー業務に従事。セキュリティアセスメントの実行、サイバーセキュリティ戦略立案、サイバー人材教育プロジェクトなどの経験を有する。
小塚 亮輔/Ryosuke Kozuka
デロイト トーマツ サイバー合同会社
※所属などの情報は執筆当時のものです。