[M&A戦略と法務]

2021年8月号 322号

(2021/07/15)

M&Aにおけるプライバシーとサイバー・セキュリティリスク

大井 哲也(TMI総合法律事務所 パートナー 弁護士)
  • A,B,EXコース
第1 M&Aにおけるプライバシーとセキュリティの重要性

1.データ活用に着目したM&A

 近時の日本企業のM&A案件においては、被買収企業が有するデータの価値に着目し、データの獲得を目的の1つとしたM&Aが増加している。例えば、多数のユーザ顧客を有するEC事業を運営している企業が、同業または隣接する業界のEC運営企業を買収するケースなど既に顧客として定着している顧客を自社に取り込むという側面とともに、被買収企業が有するユーザ顧客の年齢、性別、職業、趣味嗜好などの属性情報や購買履歴、購買傾向のデータを取り込むことがM&Aの動機となっているケースである。その背景には、デジタルマーケティング領域を中心としたデータ解析技術が進化し、データの活用場面やデータの利用目的が多様化し、データを有することの価値が飛躍的に高まっている状況がある。

2.M&Aにおけるプライバシーとサイバー・セキュリティの課題

 本稿では、M&Aにおいてプライバシーとサイバー・セキュリティの問題が顕在化した事例を紹介し、事例分析する中で、データ活用に着目したM&Aの案件において、M&Aを取り巻くプレイヤーがどのようなプライバシーとサイバー・セキュリティリスクをケアし、具体的にどのようなアクションをとるべきかを検討する。


第2 事例にみるM&Aにおけるサイバー・セキュリティリスク

1.ヤフーのベライゾンへの事業譲渡のケース

 2017年、ウェブサービスプロバイダー大手のヤフーは、電気通信事業大手のベライゾンへYahoo!ポータルサイト、検索、広告、ニュース、メールサービスなど主要事業を譲渡するM&Aを行った。事業譲渡金額は、当初、約48億3000万ドルとされていたが、このM&Aの交渉およびデューデリジェンスのプロセスにおいて、ヤフーにおける過去の3件のデータ漏えい事案が開示され、この開示を受けたベライゾンは、事業譲渡金額の約7%にあたる3億5000万ドル分の引き下げ交渉を行い、譲渡金額は、約44億8000万ドルに減額された。また、M&A契約において、ヤフー側は、将来のデータ漏えいから生じる損害賠償債務の50%を負担するという契約条件を受け入れている。

 なお、米国証券取引委員会(以下「SEC」と言う。)は、2018年にヤフー (なお、ヤフーは2017年、ベライゾンへの事業譲渡後、社名をアルタバに変更している。)に対して、データ漏えい事案に関する情報公開が不十分だったことを理由に、3500万ドル(約38億円)の制裁金を課し、アルタバもこれに合意したが、SECが、ハッカー攻撃を受けた企業に制裁金を科した初の事例となった。

2.マリオットホテルによるスターウッドホテル買収のケース

(1)事案の概要

 ホテル大手の米マリオットホテルは、2018年11月30日、「シェラトン」や「リッツ・カールトン」などのホテルブランドを展開するスターウッドホテルの宿泊予約データベースに対して、大規模なハッキングを受け、予約客約5億人分の個人情報が流出した可能性があると発表した。

 マリオットホテルによれば、5億人分の名前、住所、メールアドレスと3億2700万人の顧客については、さらに、生年月日、性別、旅行日程、予約内容、パスポート番号などが漏えいした可能性があった。

 さらには、一部の顧客については、クレジットカード番号が漏えいした可能性があった。マリオットは、2018年9月、データベースに不正アクセスがあったことを初めて認識し、調査を開始したところ、不正アクセスは、2014年から始まっていたことが判明している。

 マリオットホテルは、2015年11月にスターウッドホテルに買収提案をし、買収は2016年9月に完了していたため、個人情報の流出は、マリオットがスターウッドホテルを買収提案する前から始まっていたことになる。

(2)ICOによる制裁発動

 英国の個人情報監督機関であるInformation Commissioner's Office(以下「ICO」という。)は2019年7月9日、こうした個人情報の漏えい事案に対し、マリオットホテルがEU一般データ保護規則(以下「GDPR」という。)が要求する個人情報の安全管理義務を怠ったことを理由に、マリオットホテルに9920万ポンド(約135億円)の制裁金を科すことを発表した。

 もっとも、その後に、マリオットホテルのICOによる調査に対する協力姿勢やコロナパンデミックによる影響などを勘案して制裁金額を 9920 万ポンドから、2800 万ポンドに引き下げられ、さらに2020年10月には、最終的な制裁金が1840 万ポンドに減額されている。

(3)GDPR違反の制裁金とその算定方法

この記事は、Aコース会員、Bコース会員、EXコース会員限定です

マールオンライン会員の方はログインして下さい。ご登録がまだの方は会員登録して下さい。

バックナンバー

おすすめ記事

スキルアップ講座 M&A用語 マールオンライン コンテンツ一覧 MARR Online 活用ガイド

アクセスランキング