第2回では、M&A前に買収対象企業に発生していたサイバー攻撃による個人情報の盗取が買収後に発覚し、大きな損害につながった米ホテル大手マリオット・インターナショナルの事例を解説しました。

■第2回 グローバルホテルチェーンが受けたサイバー攻撃による損害事例

その中で、買収前のリスクや価値の調査活動であるデュー・ディリジェンス(以下、DD)の一環として、サイバーセキュリティーおよび情報保護に関するDDを行うことが、損害の防止と軽減につながるとご紹介しました。実際にそのような商慣行が主に欧米では浸透してきていますが、日系企業が海外の買収対象企業に対してそこまでの広範囲かつ詳細なDDを実施するケースは多くありません。同様に、欧米企業によるM&Aでは広く一般的に行われている「リスクマネジメントと保険プログラム」に関するDDについても、日系企業は実施していないケースが未だに多いようです。

今回は、M&Aに関連したサイバーセキュリティー事故をいくつか追加でご紹介した上で、M&Aに伴うサイバーセキュリティーリスクの管理において、何が重要かを解説していきます。

712億円の損害を出したAltabaの情報漏えい事故

まずはマリオット以外の事例として、Yahoo! Inc.(現Altaba)のケースをご紹介します。2016年7月、米Yahoo!は検索、広告、ニュース、ファイナンス、スポーツ、メールサービス等の主要事業をVerizon Communicationsに売却することで合意しました。しかしこの合意に基づく交渉期間中に、2013年から2014年に既に発生していた約30億のユーザーアカウントに関わる情報漏えいが発覚し、Yahoo!に対して3種類の訴訟が提起され、Yahoo!(現Altaba)およびYahoo!を買収したVerizonは大きな損害を負うことになりました。

1つ目は、情報漏えいの被害者が損害賠償を求める集団訴訟です。現在までに和解に至った訴訟の和解金は合計で約8500万USドル(約91億円)に及んでいます。2つ目は、取締役および一部の管理職従業員に対して善管注意義務違反、インサイダー取引、不当利得などを申し立てた株主代表訴訟です。これに関しては、今年の4月に、1億1750万USドルでの和解が確定しています。和解額の内訳は、原告側に対する補償が5500万USドル(約59億円)、クレジットカードモニタリング2年分の費用が2400万USドル(約26億円)、原告側の争訟費用が3000万USドル(約32億円)、その他の費用が850万USドル(約9億円)となっています。3つ目は、情報漏えいについて事実を隠ぺいし虚偽の情報を公表していたとして、株主が会社および取締役に対して提起した有価証券訴訟です。これについては8000万USドル(約85億円)で和解が成立しています。

これらの訴訟への対応と並行して、Yahoo!とVerizonの間では買収価額及び条件面に関する再交渉が行われ、当初の価額から3億5000万USドル(約373億円)下げた金額での売却が決定しました。さらに、Yahoo!売却後に社名を変えたAltabaは、米国証券取引委員会から情報漏えいに関する事実を隠ぺいしていたとして3500万USドル(約37億円)の罰金を課され、これを支払っています。

これらの公表されている和解額、諸費用、買収価額の減少分、罰金等を合計すると、Yahoo!(Altaba)は6億6750万USドル(約712億円)の損害を負ったことになります。本件については、仮にVerizonが買収前にサイバーセキュリティーに関するDDを行っていたとしても、情報漏えい自体は既に発生していたため、大部分の損害は防ぐことができなかったかもしれません。しかし買収価額や条件の交渉、さらには買収是非そのものの判断に際して、サイバーセキュリティーに係るDDが重要な要素になるということを認識させられた事件となりました。

426億円の損害を出したFedEX

次にFedExの例をご紹介します。2016年6月、米運送大手FedExは欧州での事業基盤の拡大を求めて約48億USドル(約5117億円)でオランダのTNT Expressを買収しました。従来から持つ欧州事業をTNTと統合する作業の真っ最中だった2017年6月、TNT事業部門がNotPetyaによるサイバー攻撃の被害に遭い、TNTのグローバル事業部門の業務システムが停止しました。2日後にシステムは復旧したものの、集荷・配送等の業務が大幅に遅延し、結果的にFedExは利益損失および各種費用を合わせて約4億USドル(約426億円)の損害が出たことを発表しています。

FedExの損害はこれにとどまらず、2019年6月には、2017年9月19日から2018年12月18日の間に株式を購入した株主による有価証券訴訟が、同社および一部の取締役に対して提起されました。申し立てでは、FedExがNotPetyaによる被害状況や損害の見込みに関して、得意客の喪失の隠ぺいや、復旧にかかる期間と費用の過小評価、事業統合計画およびシナジー計画の未達など、不適切な公表を行っていたとされ、2018年第2四半期の損失額を報告した翌日の12.2%の株価下落によって株主が負った損失の補償を求めています。

これまでも、サイバーセキュリティー事故による情報漏えいに関連して会社や取締役の責任を追及する訴訟は数多く発生しています。ただしFedExのケースでは、機密情報・個人情報等は漏えいしておらず、マルウェアによる事業中断に起因する財務損害に関連する申し立てであったことが特徴的です。本件は現在も係争中ですが、今後はこのような事業中断に対する責任を追及する訴訟が増えていくことが予想されます。

英大手広告代理店グループWPPも2017年のNotPetyaの被害を受けて、メールや会計等の基幹システムが使用不能になりました。影響を受けたのは一部のシステムであったものの、他のシステムへの感染を防ぐための予防的措置として、全てのシステムを停止させ、ITセキュリティーベンダーの協力を得て復旧にあたりました。約10日後に復旧するまでに1500万USドル(約16億円)の費用がかかったことを発表しました。

同社は近年までに買収・合併を重ねて事業規模を拡大してきましたが、この事故に先立ち、各社のシステムの統合を完了させたところでした。しかし統合したことによりマルウェア感染は広がりやすくなり、結果的に脆弱性を高めることになってしまいました。WPPはこの経験を通じて、統合せずに独立させておくべきシステムを見極め、サイバーセキュリティーの強化のために1000万~1500万USドル(約11億円~16億円)を追加投資すると発表しました。

件数、買収価額共に増加を続けている日系企業による海外企業のM&Aにおいては、買収対象企業のサイバーセキュリティーに関わるリスクプロファイルと、それらのリスクに対して講じられている低減策や転嫁策などを確認、評価した上で、価額の決定や諸条件の交渉に臨まれることをお勧めします。そのためには、サイバーセキュリティーおよび情報保護に関するDDに加えて、リスク管理体制や保険プログラムのDDを行うことも必要です。また、シナジーの発揮及び事業の効率化という視点においてはシステムやアプリケーションの統合・統一が求められますが、統合・統一によるデメリットも見極めた上で判断することが重要です。

※()内の日本円は執筆時の為替レートをもとに計算

(了)

エーオンジャパン株式会社
スペシャリティ部 賠償責任スペシャリスト
鈴木由佳