世界中でサイバーセキュリティおよびデータプライバシー(以下「サイバーセキュリテ ィ等」という)に関する関心が強まっており,これらに関する議論が活発になされている が,日本では,M&Aの文脈においてこれらの問題点を中心に検討した論考は必ずしも多 くないように思われる。サイバーセキュリティ等に関する問題は,小さな綻びが広範囲か つ壊滅的な被害を企業に及ぼすリスクを含んでいること等から,企業価値に大きな影響を 与える可能性があるため,M&Aの文脈において,これらの問題を検討することの重要性 が増してきている。

本稿では,米国実務をふまえ,M&Aにおけるサイバーセキュリティ等に係るリスクの うちいくつかのポイントを紹介するが,これらは日本においても当てはまる部分も多いこ とから,M&Aに関わる実務家にとっての一助になれば幸いである。

Ⅰ M&Aにおける サイバーセキュリティ等の重要性

サイバーセキュリティはごく一部の企業に とっての問題に過ぎないと考えている方もい るかもしれないが,ハッカー等は,サイバー 攻撃の対象になるとは考えられていない企業 や対象にあえて攻撃することがあるため,あ らゆる企業がサイバー攻撃のリスクに晒され ているといえる。たとえば,ハッカー等は, 企業情報そのものではなく,企業のインフラ やシステムから利益を得ることを試みたり, 複数の関連性のないネットワークを同時に攻 撃し,それらを利用して,混乱を招き,情報 搾取,金銭要求等を行うこともある。さら に,ハッカー等は,銀行口座等の機密性の高 い企業情報にアクセスするための情報を取得 するために,それほど機密性の高くないタイ プのオンラインアカウント(ソーシャルメデ ィアのアカウントを含む)を標的とすること もある。また,ハッカー等が付随的な被害が 発生することを考慮していないため,直接的 にサイバー攻撃の対象となっていなかったと しても,企業がサイバー攻撃の影響を付随 的・間接的に受ける可能性もある 1。そのた め,すべての会社がサイバー攻撃の対象にな り,またはサイバー攻撃の影響を受ける可能 性があることから,あらゆるM&A取引にお いて,サイバーセキュリティを検討項目に含 めて考えるべきである。

また,企業が収集・活用するデータの重要 性が増していることから,M&A取引におい ても,個人情報を含むデータに適用される法 令を正確に理解することが重要になってきて いる。 特に,さまざまな種類のデータを取 り扱っている場合やデータを収集,使用もし くは保存している国が異なる場合には,関連 する規制を正確に理解し,これに対応するこ とは困難を要するため,デューデリジェンス (以下「DD」という)においてこれらの規制 の遵守状況を把握する必要がある。

以上のとおり,サイバーセキュリティ等の 問題は,ITまたはセキュリティチームによる 検討事項にとどまらず,企業価値に重大な影 響を与える可能性があることから,取締役会, 経営戦略部およびM&Aの担当部署において, M&A取引を実施するに際して当該リスク分 析の優先順位を高めて検討する必要がある。

To view this article in full, please click here.

Footnote

1. たとえば,歴史上最大規模のマルウェア攻撃の1つであるNotPetya攻撃は,当時ウクライナの大半の企業が利用していた税 務・会計ソフトの欠陥を悪用したため,エネルギー会社から銀行,送電網といった広範な範囲に悪影響を及ぼした。

Originally published by Business Houmu.

Visit us at mayerbrown.com

Mayer Brown is a global legal services provider comprising legal practices that are separate entities (the "Mayer Brown Practices"). The Mayer Brown Practices are: Mayer Brown LLP and Mayer Brown Europe – Brussels LLP, both limited liability partnerships established in Illinois USA; Mayer Brown International LLP, a limited liability partnership incorporated in England and Wales (authorized and regulated by the Solicitors Regulation Authority and registered in England and Wales number OC 303359); Mayer Brown, a SELAS established in France; Mayer Brown JSM, a Hong Kong partnership and its associated entities in Asia; and Tauil & Chequer Advogados, a Brazilian law partnership with which Mayer Brown is associated. "Mayer Brown" and the Mayer Brown logo are the trademarks of the Mayer Brown Practices in their respective jurisdictions.

© Copyright 2019. The Mayer Brown Practices. All rights reserved.

This Mayer Brown article provides information and comments on legal issues and developments of interest. The foregoing is not a comprehensive treatment of the subject matter covered and is not intended to provide legal advice. Readers should seek specific legal advice before taking any action with respect to the matters discussed herein.