EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
ニューヨーク駐在員 公認会計士 吉田哲也
当法人パートナー。日本で多国籍企業の監査に従事した後、2016年7月より ニューヨーク事務所に日系企業担当ダイレクターとして駐在。多数の日系企業の米国事業展開のサポートに従事。
EYニューヨーク事務所 藤崎剛之助
米国EY TAS部門シニア・マネージャー。EY TAS日本オフィスで国内およびクロスボーダーM&A案件に従事した後、2016年1月よりニューヨーク事務所。日系企業を中心に、多数のM&A案件支援に従事。
近年注目を浴びるサイバーリスクですが、米国では特にM&Aの一連のプロセスにおけるサイバーリスクへの対応策としてサイバーデリジェンスが注目されています。M&Aのプロセスにおいては、知的財産や製造ノウハウ、個人情報、価格情報、調達先情報といった重要情報がアドバイザーなどを含む外部第三者に開示されることに加え、ITや事業の企業の境界を越えた統合や分割が行われます。このため、M&Aの一連のプロセスにおけるサイバーリスクは高く、これに注意を払われなかった結果、競争優位性の喪失、顧客対応コストの発生、訴訟や課徴金といった影響がもたらされる可能性があります。
M&Aにおいては、ターゲット企業のサイバーリスクへの対応が十分でないようなケースは、ハッカーの格好の標的となると考えられます。EYが実施したGlobal Information Security SurveyやGlobal Capital Confidence Barometerでの調査結果(<図1>参照)によると、何かしらのサイバー攻撃の被害を受けた企業は回答者全体の57%になり、87%の経営層は社内のサイバーセキュリティ対策に懸念を感じています。また、41%は12カ月前に比較して懸念が増加していると回答しており、45%はM&Aプロセスにおける情報漏洩(ろうえい)への具体的対応を増やしています。M&Aの活況と歩調を合わせてサイバーリスクへの意識が高まっており、この早期発見と対応のためのツールとしてサイバーデリジェンスが注目されているといえます。
実際に過去3年以内に行われた大型M&Aでは、<表1>のような情報漏洩事案が発生しています。EYがサポートした大型アパレル企業によるeコマース・プラットホーム獲得のための小規模アパレル企業買収案件における調査でも、ターゲット企業のプラットホームがマルウェアを拡散していたようなケースが発見されており、オンラインリテールやホテル・チェーン、知的財産を有するような企業を買収ターゲットとするケースでのリスクは高いといえます。
サイバーデリジェンスでは<図2>に示すように、「戦略とターゲット選定」「デューデリジェンス」「ディールの実施」「ポスト・マージャー・インテグレーション(PMI)」というM&Aの各ステップで、潜在的なリスクや価値の創造の機会に影響を与えるようなファクターを把握します。
ターゲット企業へのアクセスが困難である「戦略とターゲット選定」「デューデリジェンス」の初期段階では、ターゲット企業のウェブ分析による調査、外部からのインターネットアクセスに対する脆弱(ぜいじゃく)性の理解、潜在的な成長戦略に対するサイバーリスクの財務的インパクトをモデル化することよりサイバーリスクへの暫定的な理解を進めます。
「デューデリジェンス」と「ディール実施」の段階では、インタビューや文書の閲覧を通じてターゲット企業のサイバーセキュリティに対するインフラへの投資が十分か、サイバーリスクに対する姿勢はどのようなものか、また顧客やサプライヤーとの契約違反の有無や訴訟の結果が財務的に与える影響について理解することが重要です。買収後のターゲット企業の情報漏洩の発覚や、クロージング直前でのデータ盗難を防止するためには、この段階の調査で明らかになった問題への十分な対応が必要になります。なお、ターゲット企業のセキュリティリスクを把握することは、相手企業との交渉ポジションの強化につながることもポイントといえるでしょう。
「PMI」の段階では、ターゲット企業へのフルアクセスが可能となった中で、リスクの詳細分析とM&Aの目的達成のため具体的な統合活動が進められます。統合の過程で、マルウェアのターゲット企業ネットワークから買収企業ネットワークへの侵入や、不十分なアクセス管理のためにターゲット企業を退職した従業員からの不正なアクセスの発生といったリスクに対応します。
また、トランザクションの完了後もサイバーリスクに対するモニタリングと対応を継続することは、M&Aの目的を達成するためには必須といえるでしょう。
今後、日本企業の米国マーケットへの投資は継続することが予想されます。日本では、M&Aの際のデューデリジェンスの切り口としてビジネス、財務・税務、法務、環境といったリスクについては認識されているといえますが、サイバーリスクとその対応は必ずしも認識されているとはいえない状況にあると考えられます。M&Aを展開する日本企業にとって、サイバーデリジェンスは注視すべきテーマであるといえるでしょう。