M&A時に売り手が買い手から聞かれるセキュリティに関する６つの質問

M&Aにおいて、買い手にとっても売り手にとってもセキュリティは最も慎重に議論されるべき事柄の一つです。

ここで紹介するのは売り手が買い手から質問されるであろう重要な６つのポイントです。

１．管理しているデータの属性と漏洩リスク

売り手企業は、どのシステム、データ、業務プロセスが最も重要か、そしてどのような脆弱性を持っているかを伝える必要があります。

さらに、脆弱性に対してどのような対策を行っているのか、行う予定なのかを説明する必要があります。

２．セキュリティ統制とインシデント対応マニュアル

売り手企業は、最も重要なデータを物理的に、論理的（技術的）にどのように守っているのかを説明しなくてはいけません。

例として、ファイアウォール、暗号化、監視システムといった技術的な対策や、監視カメラや入館管理といった物理的な対策が挙げられます。

また、実際にセキュリティインシデントが起こった場合の対応フローや担当者を定義したインシデント対応マニュアルも文書化されている必要があります。

３．経営層のサイバーセキュリティに対する理解

売り手企業の経営層がサイバーセキュリティに対して十分な理解を持っていない場合、セキュリティに対する責任が経営層ではなくIT部門に閉じられているように買い手企業から見られてしまうでしょう。経営層がセキュリティのリーダーシップを取り、組織全体にセキュリティ文化を啓蒙しなくてはいけません。さもなければその企業は大きなセキュリティリスクを抱えていると見なされるでしょう。

４．ベンダーリスク管理

売り手企業が使っている外部ベンダーやサードパーティー製品によって重要データが扱われる場合、十分なリスクマネジメントをしている必要があります。さらにベンダーとのセキュリティ要件およびデューデリジェンスにおいて合意した契約書や覚書の内容も問われます。

５．セキュリティインシデントに対する損害賠償

セキュリティインシデント発生時の損害賠償の内容は売り手に対して詳しく説明する必要があります。

補償の対象に加え、例外や免責、補償期間や前提条件など詳細に説明しなくてはなりません。

６．より踏み込んだセキュリティ審査

デューデリジェンスでは売り手企業はときに想定外のセキュリティ対策について踏み込んだ質問を受ける場合があります。

通常業務に沿ったセキュリティ対策以外に、あらゆる緊急事態に際して企業としてどのような姿勢で取り組むのか経営層はしっかりと方針を示す必要があります。