IIJ M&A時のプライバシー保護規制対応デューデリジェンス
ITセキュリティとGDPR実務の経験豊富な専門家が、ワンストップでお客様をサポート
買収した企業の予約サイトから顧客情報を漏洩した、米ホテル大手マリオット・インターナショナルヘのEU一般データ保護規則(以下、「GDPR」)の制裁金(9,920万ポンド、約133億円)が2019年7月に発表されて以降、M&Aの際に買収・合併先企業のITシステムやGDPR違反リスクを精査する重要性が高まってきています。
マリオットの場合、英国の個人情報保護監督機関(ICO)から、「買収時のデューデリジェンスが不十分」と指摘を受けました。
GDPRを含めて、中国、米国カリフォルニア州といった各国のプライバシー保護規制が強化されているなか、特に海外のM&A事案において、プライバシー保護対応デューデリジェンスを適切に実施することは、バリュエーション(企業・事業の価値評価)目的だけでなく、会社自体をプロテクトし、もしもの場合に監督機関への抗弁材料にもなりうることから、不可欠なプロセスとなっています。
M&A時のデューデリジェンスとは?
M&A時に行われるデューデリジェンスには、財務、税務、人事、ビジネス、法務、IT面のデューデリジェンスがあり、これらに加えて、反贈賄規制の法律、特に米国海外腐敗行為防止法(FCPA)や英国贈収賄法(UK Bribery Act)のリスクに特化したデューデリジェンスを実施することが一般的です。
IIJ M&A時のプライバシー保護規制対応デューデリジェンスでは、通常法務デューデリジェンスの一環として、主に買い手側が売り手側に対して、コンプライアンス領域とITセキュリティ領域に関するリスク評価を行い、買収・合併戦略の実現性を検討することがあります。このため、以下のような方がオーナーになる傾向があります。
- 事業会社の経営企画部門、法務・コンプライアンス部門
- 法務デューデリジェンスを担当する弁護士事務所
- M&A事案に関与するプライベート・エクイティ(PE)ファンド、フィナンシャルアドバイザー(FA)、証券会社、投資銀行など
デューデリジェンス実施時の留意事項
- 秘匿性の確保
- 独立性の維持及びコンフリクト(利益相反)の排除
- 構造化・非構造化データ対応を含めたITセキュリティ領域の対応
- データローカリゼーションへの配慮
- 事実確認及び分析(調査結果にもとづく保証・意見表明の排除)
IIJ M&A時のプライバシー保護規制対応デューデリジェンスの全体像
主な調査項目の例
- 過去のインシデント対応状況
- インベントリとマッピング
- トップの姿勢
- (国内外の)コンプライアンス体制
- 統制環境
- 法的要件対応状況
- 組織的セキュリティ
- 技術的セキュリティ
- その他
IIJの強み
- インターネットセキュリティ技術開発のパイオニアとしての技術力と専門性
- IIJ Europe自身がGDPR対応当事者であったことに起因する欧州監督機関との実務経験
- グローバルレベルでの日本企業対応で培った現実的対策の知見
- お問い合わせ・見積依頼はお気軽にお客様に最適なサービスをご提案します
-
メールフォームでのお問い合わせお問い合わせ
電話でのお問い合わせ IIJインフォメーションセンター 03-5205-4466
(土日祝日除く 9:30~12:00、13:00~17:30)ログインアカウントをお持ちのお客様はIIJサービスオンラインからお問い合わせください
資料請求・見積依頼もお気軽に
関連情報
