財務や事業、法務などに加えて、「サイバーリスク」のデューデリジェンスが求められる時代に

今朝の日本経済新聞朝刊に「転ばぬ先の「サイバー査定」」という記事が掲載されています(以下、記事より一部抜粋)

M&A(合併・買収)に乗り出す前に情報漏洩などの可能性を調べる「サイバーデューデリジェンス(査定)」に注目が集まっている。買収先が抱えるリスクの大きさを金額で評価する会計監査大手KPMG系のサービスは2022年の調査依頼が前年の2倍に増えた。産業界ではリスクを見極めて事前に対策を打ち、「転ばぬ先の杖」とする動きが広がっている。
(中略)
KPMG FASのサイバーデューデリでは、インターネットにつながった機器にどんなソフトウエアが使われているかなどを調べている。開発元が公表し修正ソフトが配布されているバグ(欠陥)や脆弱性が放置されていた場合には、サイバー攻撃を受けるリスクが高いとみなされる。
(中略)
サイバー対策が万全であるとアピールして自社の企業価値を高めようと、M&A交渉に臨む被買収企業がKPMG FASに調査を要請することもある。

企業が他社を買収・合併する前には、デューデリジェンスと呼ばれる事前調査を行うことが一般的です。

この事前調査によって、対象企業にどのようなリスクが潜んでいるか、買収や合併後にリスクが顕在化する可能性があるかなどを明確にするとともに、買収・合併を行うか否か、金額をいくらに設定するかの決定に役立てることができます。

デューデリジェンスと言ってもその種類は様々あり、財務や事業、法務などが対象となる場合が多いですが、今回の記事ではサイバーデューデリジェンスという、いわゆる「サイバーリスク」について調査を行うケースが増加しているとのこと。

たしかに、近年は大企業はもちろん、中小企業でもインターネット機器を駆使して売上拡大を見込んだり、社内の業務管理を行う企業がほとんどで、インターネット環境なしでは事業が成り立たないといっても過言ではないでしょう。

企業を買収したものの、買収後に想定外のサイバーリスク対策費用が生じた、あるいはセキュリティが弱く情報漏洩により多額の損害賠償が生じたとなっては目も当てられません。

今回の記事にもあるKPMG FASに私が在籍していたのはもう10年以上前になりますが、その頃には社内でサイバーデューデリジェンスという言葉を耳にしたことはなかったと思います。

記事でも、KPMG FASにおける2022年のサイバーデューデリジェンスの依頼は前年から倍増し数十件になったということですので、案件は急増しているものの件数自体はまだ少なく、今後の拡大を見込んでいるという段階でしょう。

今後M&Aを行うことを考えておられる経営者の方々は、事前に財務や事業のデューデリジェンスを行うことに加えて、サイバーデューデリジェンスの実施についても検討が求められる時代が来ているのだと思います。