IIJ M&A時のプライバシー保護規制対応デューデリジェンス

ITセキュリティとGDPR実務の経験豊富な専門家が、ワンストップでお客様をサポート

買収した企業の予約サイトから顧客情報を漏洩した、米ホテル大手マリオット・インターナショナルヘのEU一般データ保護規則（以下、「GDPR」）の制裁金（9,920万ポンド、約133億円）が2019年7月に発表されて以降、M&Aの際に買収・合併先企業のITシステムやGDPR違反リスクを精査する重要性が高まってきています。
マリオットの場合、英国の個人情報保護監督機関（ICO）から、「買収時のデューデリジェンスが不十分」と指摘を受けました。

GDPRを含めて、中国、米国カリフォルニア州といった各国のプライバシー保護規制が強化されているなか、特に海外のM&A事案において、プライバシー保護対応デューデリジェンスを適切に実施することは、バリュエーション（企業・事業の価値評価）目的だけでなく、会社自体をプロテクトし、もしもの場合に監督機関への抗弁材料にもなりうることから、不可欠なプロセスとなっています。

M&A時のデューデリジェンスとは？

M&A時に行われるデューデリジェンスには、財務、税務、人事、ビジネス、法務、IT面のデューデリジェンスがあり、これらに加えて、反贈賄規制の法律、特に米国海外腐敗行為防止法（FCPA）や英国贈収賄法（UK Bribery Act）のリスクに特化したデューデリジェンスを実施することが一般的です。

IIJ M&A時のプライバシー保護規制対応デューデリジェンスでは、通常法務デューデリジェンスの一環として、主に買い手側が売り手側に対して、コンプライアンス領域とITセキュリティ領域に関するリスク評価を行い、買収・合併戦略の実現性を検討することがあります。このため、以下のような方がオーナーになる傾向があります。