1. ホーム
  2. 法人のお客様
  3. プライバシー
  4. IIJプライバシー保護規制対応ソリューション
  5. IIJ M&A時のプライバシー保護規制対応デューデリジェンス

IIJ M&A時のプライバシー保護規制対応デューデリジェンス

ITセキュリティとGDPR実務の経験豊富な専門家が、ワンストップでお客様をサポート

買収した企業の予約サイトから顧客情報を漏洩した、米ホテル大手マリオット・インターナショナルヘのEU一般データ保護規則(以下、「GDPR」)の制裁金(9,920万ポンド、約133億円)が2019年7月に発表されて以降、M&Aの際に買収・合併先企業のITシステムやGDPR違反リスクを精査する重要性が高まってきています。
マリオットの場合、英国の個人情報保護監督機関(ICO)から、「買収時のデューデリジェンスが不十分」と指摘を受けました。

GDPRを含めて、中国、米国カリフォルニア州といった各国のプライバシー保護規制が強化されているなか、特に海外のM&A事案において、プライバシー保護対応デューデリジェンスを適切に実施することは、バリュエーション(企業・事業の価値評価)目的だけでなく、会社自体をプロテクトし、もしもの場合に監督機関への抗弁材料にもなりうることから、不可欠なプロセスとなっています。

M&A時のデューデリジェンスとは?

M&A時に行われるデューデリジェンスには、財務、税務、人事、ビジネス、法務、IT面のデューデリジェンスがあり、これらに加えて、反贈賄規制の法律、特に米国海外腐敗行為防止法(FCPA)や英国贈収賄法(UK Bribery Act)のリスクに特化したデューデリジェンスを実施することが一般的です。

IIJ M&A時のプライバシー保護規制対応デューデリジェンスでは、通常法務デューデリジェンスの一環として、主に買い手側が売り手側に対して、コンプライアンス領域とITセキュリティ領域に関するリスク評価を行い、買収・合併戦略の実現性を検討することがあります。このため、以下のような方がオーナーになる傾向があります。

デューデリジェンス実施時の留意事項

  1. 秘匿性の確保
  2. 独立性の維持及びコンフリクト(利益相反)の排除
  3. 構造化・非構造化データ対応を含めたITセキュリティ領域の対応
  4. データローカリゼーションへの配慮
  5. 事実確認及び分析(調査結果にもとづく保証・意見表明の排除)

IIJ M&A時のプライバシー保護規制対応デューデリジェンスの全体像

M&A時のプライバシー保護規制対応デューデリジェンスイメージ図

主な調査項目の例

  1. 過去のインシデント対応状況
  2. インベントリとマッピング
  3. トップの姿勢
  4. (国内外の)コンプライアンス体制
  5. 統制環境
  6. 法的要件対応状況
  7. 組織的セキュリティ
  8. 技術的セキュリティ
  9. その他

IIJの強み

資料請求・見積依頼もお気軽に

お問い合わせ

電話でのお問い合わせ tel:03-5205-4466(土日祝日除く 9:30~12:00、13:00~17:30)

関連情報

導入実績750社突破 One Trustクッキーバナー
BizRizを活用して対応を進める企業が増えています
6ヵ月毎更新 世界各国のプライバシー保護規制調査レポートを日本語で配信中!