426億円の損害を出したFedEX

次にFedExの例をご紹介します。2016年6月、米運送大手FedExは欧州での事業基盤の拡大を求めて約48億USドル(約5117億円)でオランダのTNT Expressを買収しました。従来から持つ欧州事業をTNTと統合する作業の真っ最中だった2017年6月、TNT事業部門がNotPetyaによるサイバー攻撃の被害に遭い、TNTのグローバル事業部門の業務システムが停止しました。2日後にシステムは復旧したものの、集荷・配送等の業務が大幅に遅延し、結果的にFedExは利益損失および各種費用を合わせて約4億USドル(約426億円)の損害が出たことを発表しています。

FedExの損害はこれにとどまらず、2019年6月には、2017年9月19日から2018年12月18日の間に株式を購入した株主による有価証券訴訟が、同社および一部の取締役に対して提起されました。申し立てでは、FedExがNotPetyaによる被害状況や損害の見込みに関して、得意客の喪失の隠ぺいや、復旧にかかる期間と費用の過小評価、事業統合計画およびシナジー計画の未達など、不適切な公表を行っていたとされ、2018年第2四半期の損失額を報告した翌日の12.2%の株価下落によって株主が負った損失の補償を求めています。

これまでも、サイバーセキュリティー事故による情報漏えいに関連して会社や取締役の責任を追及する訴訟は数多く発生しています。ただしFedExのケースでは、機密情報・個人情報等は漏えいしておらず、マルウェアによる事業中断に起因する財務損害に関連する申し立てであったことが特徴的です。本件は現在も係争中ですが、今後はこのような事業中断に対する責任を追及する訴訟が増えていくことが予想されます。

英大手広告代理店グループWPPも2017年のNotPetyaの被害を受けて、メールや会計等の基幹システムが使用不能になりました。影響を受けたのは一部のシステムであったものの、他のシステムへの感染を防ぐための予防的措置として、全てのシステムを停止させ、ITセキュリティーベンダーの協力を得て復旧にあたりました。約10日後に復旧するまでに1500万USドル(約16億円)の費用がかかったことを発表しました。

同社は近年までに買収・合併を重ねて事業規模を拡大してきましたが、この事故に先立ち、各社のシステムの統合を完了させたところでした。しかし統合したことによりマルウェア感染は広がりやすくなり、結果的に脆弱性を高めることになってしまいました。WPPはこの経験を通じて、統合せずに独立させておくべきシステムを見極め、サイバーセキュリティーの強化のために1000万~1500万USドル(約11億円~16億円)を追加投資すると発表しました。

件数、買収価額共に増加を続けている日系企業による海外企業のM&Aにおいては、買収対象企業のサイバーセキュリティーに関わるリスクプロファイルと、それらのリスクに対して講じられている低減策や転嫁策などを確認、評価した上で、価額の決定や諸条件の交渉に臨まれることをお勧めします。そのためには、サイバーセキュリティーおよび情報保護に関するDDに加えて、リスク管理体制や保険プログラムのDDを行うことも必要です。また、シナジーの発揮及び事業の効率化という視点においてはシステムやアプリケーションの統合・統一が求められますが、統合・統一によるデメリットも見極めた上で判断することが重要です。

※()内の日本円は執筆時の為替レートをもとに計算

(了)

エーオンジャパン株式会社
スペシャリティ部 賠償責任スペシャリスト
鈴木由佳