M&Aディールを支えるサイバーセキュリティとは

M&Aのフェーズとサイバー

M&Aのプロセスは契約成立前のPre-dealと成立後のPost-dealに分けられます。Pre-dealは初期的検討、DD、最終契約書・交渉、クロージングの4つのプロセスで構成され、特にDDにおけるサイバーセキュリティに関する適切な評価が必要です。一方、Post-dealはPost-Merger Integration（PMI、M&A後の統合プロセス）準備、PMI Planning、PMI Executionの3つのプロセスで構成され、全てのプロセスでサイバーセキュリティに関する施策の遂行が必要です。
 

Pre-dealにおけるサイバー対応

Pre-dealにおけるサイバー対応は、投資対象企業のセキュリティレベルを把握し、投資の判断材料として取り入れることで、買収後の企業価値の引き下げやレピュテーションリスクなどのセキュリティリスクによる経済的な被害を事前に防止することを目的としています。

上記目的のためにサイバーDDが必要となる一方、短期間に複数のDDを実施する状況の中で、サイバーに焦点を当てられる期間は限られています。その状況において事前準備とサイバーDDの期間にて、以下3つのアクションを実施することが望ましいです。

＜事前準備＞

•  サイバーセキュリティレベルの評価基準を策定：サイバーセキュリティレベルのチェックに必要な情報や受け入れ可能なセキュリティレベルなどの基準を設定

＜サイバーDD期間中＞

• サイバー規制と事業ポートフォリオを分析：投資対象企業の事業ポートフォリオを分析し、サイバー関連法規制などの事業特性上のサイバーリスクを明確化
• インテリジェンスに基づくサイバーリスクを評価：インターネットからアクセス可能な投資対象企業のインシデント発生状況およびセキュリティ対策の実施状況を調査し、セキュリティレベルを評価

サイバーDDを行わず買収判断をしたある大手企業のM&Aでは、重大なセキュリティ脆弱性が潜在することを発見できず、結果として買収後に個人情報の漏洩にかかる罰金および追加のセキュリティ対策として約数百億円の大幅な追加投資が必要となりました。
 

Post-dealにおけるサイバー対応

Post-dealにおけるサイバー対応は、異なるセキュリティ体制を統合し、共通のセキュリティレベルを確保することで、リスクを予測可能な範囲に収めることを目的としています。具体的な実施策として、まず統合後のセキュリティを確保するために、以下を通じてDay1（統合日）に向けたサイバーセキュリティ戦略を立案する必要があります。

• 買収先のセキュリティ管理体制の評価：買収先の包括的なサイバーセキュリティ管理体制とその成熟度をPre-dealで策定した評価基準の元に評価することで、現状のレベルを把握
• 統合後のセキュリティ体制や規制の策定：今後のビジネスを考慮し、必要となるセキュリティ体制および規制を可視化することで、望ましい姿と施策を可視化

次に、ビジネスシナジーの最大化を図るために、Day X（Day1後）のサイバーセキュリティ戦略を立案することが不可欠です。以下が具体的なアプローチとして考えられます。

• Day Xのセキュリティ上の目標およびマイルストンの策定：段階的に進む統合において、各マイルストンを設定し、それまでに必要なセキュリティ対策を詳細に定義

Pre-dealとPost-dealの両段階でサイバーセキュリティに取り組むことにより、ビジネスリスクを軽減し、セキュリティ対策を整合させ、当初計画されたM&Aの目的達成がサイバーセキュリティ面において実現できます。
 

サイバー対応における各層の役割

M&Aを行う際に、Pre-dealにおいてはDDに、Post-dealにおいてはPMIのプロセスにサイバーセキュリティの観点を取り入れることが肝要であると前項でお伝えしました。

M&Aの各フェーズには様々なステークホルダーが関わりますが、その中でも重大な意思決定に携わる経営層および、具体的なサイバーリスクに関する情報収集や対策を行う実務担当部署が、それぞれ担う役割とアクションを説明します。
 

経営層の役割および具体的なアクション

経営層の役割は、様々なリスクを考慮し的確な意思決定を行うことです。意思決定を行う上では必要な情報があるかどうか確認することも重要となるため、サイバーセキュリティの必要性をM&A実務担当部署に伝えることも経営層の役割となります。本ブログでは経営層による判断・指示により、買収後の重大なセキュリティインシデントの回避・低減につながるPre-dealに焦点を当てご紹介します。

Pre-Dealにおける経営層に求められるアクションは、M&Aに係る意思決定においてサイバーリスクを適切に考慮することといえます。サイバーリスクの考慮は、適正な買収価格の算定や、ディール存続を検討する要素となりえ、サイバーインシデントに伴う顧客基盤の棄損、レピュテーションリスク、経済的損失などを軽減する判断に繋がります。このような意思決定を行う為には判断材料が必要なため、M&A実務担当部署や関連部署に対してサイバーリスクに関する情報を要求します。また、意思決定に必要な情報が揃っているかの確認も行い、実務担当部署などから得た情報に漏れがあった場合は、それを指摘することも必要です。

限られたM&Aディールの期間内で得られる最大限のサイバーリスクに関する情報を基に、ディール存続の検討、買収価格、統合計画などについて意思決定を行います。
 

M&A実務担当部署の役割および具体的なアクション

M&A実務担当部署は、Pre-deal段階では経営層が意思決定を行う上で必要なサイバーセキュリティに関わる情報を収集し、適宜連携することが役割となります。Post-deal段階の役割は、サイバーDDで得られた情報も含め統合後に求められるあるべきサイバーセキュリティ対策のグランドデザインを描き、場合によっては段階的にその状態を実現することで、結果としてM&Aにおけるサイバーリスクを最小化することです。

M&A実務担当部署は、Pre-deal期間においては以下のようなタスクを実施し、結果を意思決定の材料として経営層に速やかに報告します。

• サイバーDDの基準をあらかじめ策定し、その基準に基づくサイバーDDの実施
  （投資対象企業におけるサイバーセキュリティ関連法令への準拠状況の調査を含む）
• サイバーDDの結果に基づいたリスク評価と報告

Post-deal段階では以下のようなタスクを実施し、残存しているサイバーリスクの最小化や、移行期間におけるインシデント発生確率を低減させる対策をとります。

• リスク評価に基づく統合後のあるべきサイバーセキュリティ対策（グランドデザイン）の策定
• グランドデザインの実現に向けた計画の策定
• 計画に沿ったタスクの実行
   

まとめ

M&Aディールが成功する（想定された利益を得られること）ためには、サイバーセキュリティの観点も取り込むことが重要であることを紹介しました。サイバーリスクを低減し、あるべきサイバーセキュリティ対策を実現するためには、経営層および実務担当部署など関連するステークホルダーが連携し推進する必要があるといえます。

執筆者

山本 梓／Azusa Yamamoto
デロイト トーマツ サイバー合同会社

​​​​デロイト トーマツ サイバー合同会社に参画後、​主に金融業界に向けたサイバーセキュリティに関するアドバイザリー業務に従事。セキュリティアセスメントの実行、サイバーセキュリティ戦略立案、サイバー人材教育プロジェクトなどの経験を有する。

小塚 亮輔／Ryosuke Kozuka
デロイト トーマツ サイバー合同会社
 

※所属などの情報は執筆当時のものです。