巨額損害を被った実例から学ぶ教訓
第3回 M&Aに伴うサイバーリスク

エーオン ジャパン
エーオンジャパンは、世界最大の保険・再保険ブローカーであるエーオングループに属し、日本においては国内の主要損害保険会社と代理店契約を結び、お客様の多種多様なリスクに対して最適・最良な保険プログラムを提供している。また、企業を取り巻くリスクに関わる各種ソリューションサービスも提供しており、最近では特に、グローバル企業のサイバーセキュリティーを強化するためのサービスに力を入れている。
2019/08/29
拡大するサイバー攻撃の標的
エーオン ジャパン
エーオンジャパンは、世界最大の保険・再保険ブローカーであるエーオングループに属し、日本においては国内の主要損害保険会社と代理店契約を結び、お客様の多種多様なリスクに対して最適・最良な保険プログラムを提供している。また、企業を取り巻くリスクに関わる各種ソリューションサービスも提供しており、最近では特に、グローバル企業のサイバーセキュリティーを強化するためのサービスに力を入れている。
第2回では、M&A前に買収対象企業に発生していたサイバー攻撃による個人情報の盗取が買収後に発覚し、大きな損害につながった米ホテル大手マリオット・インターナショナルの事例を解説しました。
■第2回 グローバルホテルチェーンが受けたサイバー攻撃による損害事例
その中で、買収前のリスクや価値の調査活動であるデュー・ディリジェンス(以下、DD)の一環として、サイバーセキュリティーおよび情報保護に関するDDを行うことが、損害の防止と軽減につながるとご紹介しました。実際にそのような商慣行が主に欧米では浸透してきていますが、日系企業が海外の買収対象企業に対してそこまでの広範囲かつ詳細なDDを実施するケースは多くありません。同様に、欧米企業によるM&Aでは広く一般的に行われている「リスクマネジメントと保険プログラム」に関するDDについても、日系企業は実施していないケースが未だに多いようです。
今回は、M&Aに関連したサイバーセキュリティー事故をいくつか追加でご紹介した上で、M&Aに伴うサイバーセキュリティーリスクの管理において、何が重要かを解説していきます。
まずはマリオット以外の事例として、Yahoo! Inc.(現Altaba)のケースをご紹介します。2016年7月、米Yahoo!は検索、広告、ニュース、ファイナンス、スポーツ、メールサービス等の主要事業をVerizon Communicationsに売却することで合意しました。しかしこの合意に基づく交渉期間中に、2013年から2014年に既に発生していた約30億のユーザーアカウントに関わる情報漏えいが発覚し、Yahoo!に対して3種類の訴訟が提起され、Yahoo!(現Altaba)およびYahoo!を買収したVerizonは大きな損害を負うことになりました。
1つ目は、情報漏えいの被害者が損害賠償を求める集団訴訟です。現在までに和解に至った訴訟の和解金は合計で約8500万USドル(約91億円)に及んでいます。2つ目は、取締役および一部の管理職従業員に対して善管注意義務違反、インサイダー取引、不当利得などを申し立てた株主代表訴訟です。これに関しては、今年の4月に、1億1750万USドルでの和解が確定しています。和解額の内訳は、原告側に対する補償が5500万USドル(約59億円)、クレジットカードモニタリング2年分の費用が2400万USドル(約26億円)、原告側の争訟費用が3000万USドル(約32億円)、その他の費用が850万USドル(約9億円)となっています。3つ目は、情報漏えいについて事実を隠ぺいし虚偽の情報を公表していたとして、株主が会社および取締役に対して提起した有価証券訴訟です。これについては8000万USドル(約85億円)で和解が成立しています。
これらの訴訟への対応と並行して、Yahoo!とVerizonの間では買収価額及び条件面に関する再交渉が行われ、当初の価額から3億5000万USドル(約373億円)下げた金額での売却が決定しました。さらに、Yahoo!売却後に社名を変えたAltabaは、米国証券取引委員会から情報漏えいに関する事実を隠ぺいしていたとして3500万USドル(約37億円)の罰金を課され、これを支払っています。
これらの公表されている和解額、諸費用、買収価額の減少分、罰金等を合計すると、Yahoo!(Altaba)は6億6750万USドル(約712億円)の損害を負ったことになります。本件については、仮にVerizonが買収前にサイバーセキュリティーに関するDDを行っていたとしても、情報漏えい自体は既に発生していたため、大部分の損害は防ぐことができなかったかもしれません。しかし買収価額や条件の交渉、さらには買収是非そのものの判断に際して、サイバーセキュリティーに係るDDが重要な要素になるということを認識させられた事件となりました。
拡大するサイバー攻撃の標的の他の記事
おすすめ記事
自社の危機管理の進捗管理表を公開
食品スーパーの西友では、危機管理の進捗を独自に制作したテンプレートで管理している。人事総務本部 リスク・コンプライアンス部リスクマネジメントダイレクターの村上邦彦氏らが中心となってつくったもので、現状の危機管理上の課題に対して、いつまでに誰が何をするのか、どこまで進んだのかが一目で確認できる。
2025/04/24
常識をくつがえす山火事世界各地で増える森林火災
2025年、日本各地で発生した大規模な山火事は、これまでの常識をくつがえした。山火事に詳しい日本大学の串田圭司教授は「かつてないほどの面積が燃え、被害が拡大した」と語る。なぜ、山火事は広がったのだろうか。
2025/04/23
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/22
帰宅困難者へ寄り添い安心を提供する
BCPを「非常時だけの取り組み」ととらえると、対策もコストも必要最小限になりがち。しかし「企業価値向上の取り組み」ととらえると、可能性は大きく広がります。西武鉄道は2025年度、災害直後に帰宅困難者・滞留者に駅のスペースを開放。立ち寄りサービスや一時待機場所を提供する「駅まちレジリエンス」プロジェクトを本格化します。
2025/04/21
大阪・関西万博 多難なスタート会場外のリスクにも注視
4月13日、大阪・関西万博が開幕した。約14万1000人が訪れた初日は、通信障害により入場チケットであるQRコード表示に手間取り、入場のために長蛇の列が続いた。インドなど5カ国のパビリオンは工事の遅れで未完成のまま。雨にも見舞われる、多難なスタートとなった。東京オリンピックに続くこの大規模イベントは、開催期間が半年間にもおよぶ。大阪・関西万博のリスクについて、テロ対策や危機管理が専門の板橋功氏に聞いた。
2025/04/15
BCMSで社会的供給責任を果たせる体制づくり能登半島地震を機に見直し図り新規訓練を導入
日本精工(東京都品川区、市井明俊代表執行役社長・CEO)は、2024年元日に発生した能登半島地震で、直接的な被害を受けたわけではない。しかし、増加した製品ニーズに応え、社会的供給責任を果たした。また、被害がなくとも明らかになった課題を直視し、対策を進めている。
2025/04/15
生コン・アスファルト工場の早期再稼働を支援
能登半島地震では、初動や支援における道路の重要性が再認識されました。寸断箇所の啓開にあたる建設業者の尽力はもちろんですが、その後の応急復旧には補修資材が欠かせません。大手プラントメーカーの日工は2025年度、取引先の生コン・アスファルト工場が資材供給を継続するための支援強化に乗り出します。
2025/04/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方