レコフデータは1985年以降のM&Aデータベースを構築しています

キーワード 一覧

[M&A戦略と法務]

2021年8月号 322号

(2021/07/15)

M&Aにおけるプライバシーとサイバー・セキュリティリスク

大井 哲也(TMI総合法律事務所 パートナー 弁護士)
第1 M&Aにおけるプライバシーとセキュリティの重要性

1.データ活用に着目したM&A

 近時の日本企業のM&A案件においては、被買収企業が有するデータの価値に着目し、データの獲得を目的の1つとしたM&Aが増加している。例えば、多数のユーザ顧客を有するEC事業を運営している企業が、同業または隣接する業界のEC運営企業を買収するケースなど既に顧客として定着している顧客を自社に取り込むという側面とともに、被買収企業が有するユーザ顧客の年齢、性別、職業、趣味嗜好などの属性情報や購買履歴、購買傾向のデータを取り込むことがM&Aの動機となっているケースである。その背景には、デジタルマーケティング領域を中心としたデータ解析技術が進化し、データの活用場面やデータの利用目的が多様化し、データを有することの価値が飛躍的に高まっている状況がある。

2.M&Aにおけるプライバシーとサイバー・セキュリティの課題

 本稿では、M&Aにおいてプライバシーとサイバー・セキュリティの問題が顕在化した事例を紹介し、事例分析する中で、データ活用に着目したM&Aの案件において、M&Aを取り巻くプレイヤーがどのようなプライバシーとサイバー・セキュリティリスクをケアし、具体的にどのようなアクションをとるべきかを検討する。


第2 事例にみるM&Aにおけるサイバー・セキュリティリスク

1.ヤフーのベライゾンへの事業譲渡のケース

 2017年、ウェブサービスプロバイダー大手のヤフーは、電気通信事業大手のベライゾンへYahoo!ポータルサイト、検索、広告、ニュース、メールサービスなど主要事業を譲渡するM&Aを行った。事業譲渡金額は、当初、約48億3000万ドルとされていたが、このM&Aの交渉およびデューデリジェンスのプロセスにおいて、ヤフーにおける過去の3件のデータ漏えい事案が開示され、この開示を受けたベライゾンは、事業譲渡金額の約7%にあたる3億5000万ドル分の引き下げ交渉を行い、譲渡金額は、約44億8000万ドルに減額された。また、M&A契約において、ヤフー側は、将来のデータ漏えいから生じる損害賠償債務の50%を負担するという契約条件を受け入れている。

 なお、米国証券取引委員会(以下「SEC」と言う。)は、2018年にヤフー (なお、ヤフーは2017年、ベライゾンへの事業譲渡後、社名をアルタバに変更している。)に対して、データ漏えい事案に関する情報公開が不十分だったことを理由に、3500万ドル(約38億円)の制裁金を課し、アルタバもこれに合意したが、SECが、ハッカー攻撃を受けた企業に制裁金を科した初の事例となった。

2.マリオットホテルによるスターウッドホテル買収のケース

(1)事案の概要

 ホテル大手の米マリオットホテルは、2018年11月30日、「シェラトン」や「リッツ・カールトン」などのホテルブランドを展開するスターウッドホテルの宿泊予約データベースに対して、大規模なハッキングを受け、予約客約5億人分の個人情報が流出した可能性があると発表した。

 マリオットホテルによれば、5億人分の名前、住所、メールアドレスと3億2700万人の顧客については、さらに、生年月日、性別、旅行日程、予約内容、パスポート番号などが漏えいした可能性があった。

 さらには、一部の顧客については、クレジットカード番号が漏えいした可能性があった。マリオットは、2018年9月、データベースに不正アクセスがあったことを初めて認識し、調査を開始したところ、不正アクセスは、2014年から始まっていたことが判明している。

 マリオットホテルは、2015年11月にスターウッドホテルに買収提案をし、買収は2016年9月に完了していたため、個人情報の流出は、マリオットがスターウッドホテルを買収提案する前から始まっていたことになる。

(2)ICOによる制裁発動

 英国の個人情報監督機関であるInformation Commissioner's Office(以下「ICO」という。)は2019年7月9日、こうした個人情報の漏えい事案に対し、マリオットホテルがEU一般データ保護規則(以下「GDPR」という。)が要求する個人情報の安全管理義務を怠ったことを理由に、マリオットホテルに9920万ポンド(約135億円)の制裁金を科すことを発表した。

 もっとも、その後に、マリオットホテルのICOによる調査に対する協力姿勢やコロナパンデミックによる影響などを勘案して制裁金額を 9920 万ポンドから、2800 万ポンドに引き下げられ、さらに2020年10月には、最終的な制裁金が1840 万ポンドに減額されている。

(3)GDPR違反の制裁金とその算定方法

この記事は、Aコース会員、Bコース会員、Cコース会員、EXコース会員限定です

*Cコース会員の方は、最新号から過去3号分の記事をご覧いただけます

マールオンライン会員の方はログインして下さい。ご登録がまだの方は会員登録して下さい。

[無料・有料会員を選択]

会員登録

バックナンバー

おすすめ記事

【第3回(最終回)】M&Aは黒船

スキルアップ

[【人事】「M&A人事の新常識」~グローバルの年金・ベネフィット最新事情(マーサー ジャパン)]

NEW 【第3回(最終回)】M&Aは黒船

北野 信太郎(マーサー ジャパン グローバルクライアントマネージャー シニアプリンシパル)

2021年8月の状況と注目企業「Hmcomm (エイチエムコム)」

マーケット動向

【第130回】【ティーキャピタルパートナーズ】日本マイクロバイオファーマの成長戦略を語る

座談会・インタビュー

[Webインタビュー]

NEW 【第130回】【ティーキャピタルパートナーズ】日本マイクロバイオファーマの成長戦略を語る

大佐古 佳洋(ティーキャピタルパートナーズ ディレクター)

M&A専門誌 マール最新号


M&A専門誌マール

M&A専門誌マール

「MARR(マール)」は、日本で唯一のM&A専門誌で、「記事編」と「統計とデータ編」で構成されています。

レコフM&Aデータベース

レコフM&Aデータベース

「レコフM&Aデータベース」は、日本企業のM&Aなどどこよりも網羅的に、即日性をもって構築している日本で最も信頼性の高いデータベースです。

セミナー

セミナー

マールの誌面にご登場いただいた実務家、研究者などM&Aの専門家を講師としてお招きし、成功に導くポイント、M&Aの全体プロセスと意思決定手続き、実証研究から見た分析などについてご講演いただきます。

SPEEDA RECOF

SPEEDA RECOF

「SPEEDA RECOF」とは「レコフM&Aデータベース」と株式会社ユーザベースが開発・運営する企業・業界情報プラットフォームである「SPEEDA」がシステム連携します。

NIKKEI TELECOM日経テレコン 日経バリューサーチ

日経テレコン

2002年7月に、日本経済新聞デジタルメディアが運営する日経テレコンの「レコフM&A情報」を通じてM&Aデータの提供を開始しました。

M&Aに関するお問い合わせ、ご相談は
こちらからお気軽にお問い合わせ下さい。

お問い合わせフォーム