第2回では、M&A前に買収対象企業に発生していたサイバー攻撃による個人情報の盗取が買収後に発覚し、大きな損害につながった米ホテル大手マリオット・インターナショナルの事例を解説しました。

■第2回 グローバルホテルチェーンが受けたサイバー攻撃による損害事例

その中で、買収前のリスクや価値の調査活動であるデュー・ディリジェンス(以下、DD)の一環として、サイバーセキュリティーおよび情報保護に関するDDを行うことが、損害の防止と軽減につながるとご紹介しました。実際にそのような商慣行が主に欧米では浸透してきていますが、日系企業が海外の買収対象企業に対してそこまでの広範囲かつ詳細なDDを実施するケースは多くありません。同様に、欧米企業によるM&Aでは広く一般的に行われている「リスクマネジメントと保険プログラム」に関するDDについても、日系企業は実施していないケースが未だに多いようです。

今回は、M&Aに関連したサイバーセキュリティー事故をいくつか追加でご紹介した上で、M&Aに伴うサイバーセキュリティーリスクの管理において、何が重要かを解説していきます。

712億円の損害を出したAltabaの情報漏えい事故

まずはマリオット以外の事例として、Yahoo! Inc.(現Altaba)のケースをご紹介します。2016年7月、米Yahoo!は検索、広告、ニュース、ファイナンス、スポーツ、メールサービス等の主要事業をVerizon Communicationsに売却することで合意しました。しかしこの合意に基づく交渉期間中に、2013年から2014年に既に発生していた約30億のユーザーアカウントに関わる情報漏えいが発覚し、Yahoo!に対して3種類の訴訟が提起され、Yahoo!(現Altaba)およびYahoo!を買収したVerizonは大きな損害を負うことになりました。

1つ目は、情報漏えいの被害者が損害賠償を求める集団訴訟です。現在までに和解に至った訴訟の和解金は合計で約8500万USドル(約91億円)に及んでいます。2つ目は、取締役および一部の管理職従業員に対して善管注意義務違反、インサイダー取引、不当利得などを申し立てた株主代表訴訟です。これに関しては、今年の4月に、1億1750万USドルでの和解が確定しています。和解額の内訳は、原告側に対する補償が5500万USドル(約59億円)、クレジットカードモニタリング2年分の費用が2400万USドル(約26億円)、原告側の争訟費用が3000万USドル(約32億円)、その他の費用が850万USドル(約9億円)となっています。3つ目は、情報漏えいについて事実を隠ぺいし虚偽の情報を公表していたとして、株主が会社および取締役に対して提起した有価証券訴訟です。これについては8000万USドル(約85億円)で和解が成立しています。

これらの訴訟への対応と並行して、Yahoo!とVerizonの間では買収価額及び条件面に関する再交渉が行われ、当初の価額から3億5000万USドル(約373億円)下げた金額での売却が決定しました。さらに、Yahoo!売却後に社名を変えたAltabaは、米国証券取引委員会から情報漏えいに関する事実を隠ぺいしていたとして3500万USドル(約37億円)の罰金を課され、これを支払っています。

これらの公表されている和解額、諸費用、買収価額の減少分、罰金等を合計すると、Yahoo!(Altaba)は6億6750万USドル(約712億円)の損害を負ったことになります。本件については、仮にVerizonが買収前にサイバーセキュリティーに関するDDを行っていたとしても、情報漏えい自体は既に発生していたため、大部分の損害は防ぐことができなかったかもしれません。しかし買収価額や条件の交渉、さらには買収是非そのものの判断に際して、サイバーセキュリティーに係るDDが重要な要素になるということを認識させられた事件となりました。