2024年、クレカ不正被害は555億円を記録した

2024年のクレジットカード不正利用被害額は555億円と、過去最高を更新した。前年から3年連続で500億円を超え、2025年に入っても1〜3月期だけで193億円を超えるペースが続いている。生成AIを悪用したフィッシングサイトが大量に自動生成され、AiTM攻撃（中間者攻撃）によってワンタイムパスワードすら突破される手口が広まっている。

この数字は、もはや「対岸の火事」ではない。ECサイトやSaaSを運営する企業にとって、セキュリティリスクは日常業務上の課題だ。そして、M&Aの文脈では「企業価値を毀損する潜在リスク」として、買い手・売り手の双方が正面から向き合わなければならない問題でもある。

本記事では、M&AのDD（デューデリジェンス）においてセキュリティリスクがどう評価されるか、そして売却前に何を整備すれば企業価値を守れるかを解説する。

DDとは何か——財務だけでは企業の全貌は見えない

M&AにおけるDD（デューデリジェンス）とは、買い手が対象企業の実態を多角的に調査・評価するプロセスを指す。財務DD、法務DD、税務DDが一般的だが、デジタル化が進む現代ではITデューデリジェンス（IT DD）、さらにサイバーセキュリティDDが重要な位置を占めるようになっている。

IT DDでは、システム構成・技術的負債・IT投資コストなどを調査する。その中でもサイバーセキュリティDDは、対象企業のセキュリティ体制・脆弱性・過去のインシデント履歴・コンプライアンス状況を精査するものだ。PwCやKPMG、デロイト、EYといった大手ファームが専門サービスを提供しており、M&Aにおけるサイバーリスク評価はグローバルでは標準的なプロセスになっている。

一方、日本ではサイバーDDが十分に普及していない現状がある。CISO（最高情報セキュリティ責任者）が在籍しない企業が多く、DD予算にサイバー評価が盛り込まれないケースも少なくない。この「見落とし」が、買収後に深刻な問題を引き起こす原因となる。

海外の教訓——ヤフーの情報漏洩が3,500億円の損失を生んだ

セキュリティリスクがM&A価格を直接引き下げた最も著名な事例が、ヤフーとベライゾンの案件だ。

2016年、米ベライゾンはヤフーの中核事業を約48億ドルで買収することで合意した。しかしその後、ヤフーが過去に3度にわたる大規模な情報漏洩を起こしていたことが発覚した。被害アカウント数は合計30億件以上にのぼり、ベライゾンは買収価格を3億5,000万ドル（約380億円）引き下げた上で、法的リスクの50%を共同負担するという異例の条件を受け入れた。

さらにヤフーはSEC（米証券取引委員会）に対して約35億円の制裁金を支払い、集団訴訟の和解金も100億円超を拠出した。情報漏洩を「知りながら開示しなかった」ことが問題視されたのだ。

この事例が示す教訓は3点ある。

1. セキュリティ問題は買収価格交渉の直接材料になる
2. 2. 過去のインシデントの隠蔽は、買収契約における「表明保証違反」となり、クロージング後であっても巨額の損害賠償を招く
3. DDで発覚した場合でも、すでに価値毀損は避けられない

日本でも同様の構図は起こりうる。2024年だけで上場企業の個人情報漏洩事故は189件に達しており、「ウイルス感染・不正アクセス」を原因とするものが初めて100件を超えた。

買い手が見るべき「セキュリティDDの5つの視点」

M&Aで対象企業を評価する際、セキュリティ面では以下の5つを中心に調査する。

1. インシデント履歴とその対応記録

過去3〜5年に情報漏洩や不正アクセスが発生していないか。発生した場合、迅速に開示・対応したか。対応記録が残っているかどうかが、組織の成熟度を示す指標となる。

2. 個人情報・カード情報の管理体制

対象企業がECサイトや会員サービスを運営している場合、どの範囲のデータを保有し、どのように管理しているかを精査する。クレジットカード情報を自社サーバに保持していないか、トークン化・外部委託を適切に行っているかが問われる。PCI DSS（カード情報セキュリティ基準）の準拠状況も確認対象だ。

3. 技術的脆弱性の状況

VPNや公開サーバの脆弱性パッチが適用されているか。古いOSやフレームワークが放置されていないか。2024年のランサムウェア被害の半数以上がVPN等のネットワーク機器の脆弱性を起因としており、放置されたシステムは買収後の負の遺産になりうる。

4. セキュリティポリシーと組織体制

情報セキュリティポリシーが策定・運用されているか。担当者が実在し、定期的な見直しが行われているか。ISMS（情報セキュリティマネジメントシステム）やISO27001の認証取得はプラス評価になる。

5. 第三者委託先のリスク

外部ベンダーや開発委託先のセキュリティ管理が適切かどうかも重要だ。2024年上半期は委託先経由の情報漏洩が相次いだ。サプライチェーンリスクは自社だけで完結しない。

また、買い手にとって絶対に見落とせないのが「PMI（買収後の統合作業）における感染拡大リスク」だ。対象企業のシステムにマルウェアが潜伏していた場合、ネットワーク統合後に買い手側（親会社）の基幹システムへ被害が拡大する恐れがある。EYはこのプロセスを「サイバー関連の脆弱性または規制違反を低減するために必要な費用を、バリュエーション上の検討事項として定量化する」と表現している。

売り手が知るべき「プレDDで企業価値を守る方法」

買い手視点のDDが厳格化されているいま、売り手もDD前に自社のセキュリティを整備しておく「プレDD対応」が不可欠になっている。

セキュリティに問題がある状態で交渉テーブルに着くと、買い手に価格引き下げの根拠を与えることになる。逆に言えば、売却前にセキュリティを整えることは「高く売る準備」でもある。

プレDDで整備すべき5項目

1. インシデント記録の整理と開示準備
過去のセキュリティインシデントを隠蔽することは最悪の選択肢だ。発生した事実と、そこからどう改善したかを記録・整備しておくことで「対応能力がある組織」として評価される。

2. 個人情報の棚卸し
保有する個人情報の種類・件数・管理方法を一覧化する。特にカード情報・医療情報・採用情報などは感度が高く、DDで必ず確認される。棚卸しが済んでいない状態はそれ自体がリスクのシグナルとなる。

3. 脆弱性診断の実施と修正
売却前に外部の脆弱性診断を受け、発見された問題を修正しておくことが望ましい。診断レポートと修正記録を残しておくと、DDでの信頼性が高まる。

4. セキュリティポリシーの文書化
口頭での運用や担当者の属人的な管理をやめ、ポリシーを文書化する。経済産業省の「サイバーセキュリティ経営ガイドライン2.0」が参考になる。DDでは質問票（39項目）への回答が求められるケースもある。

5. ISMSや第三者認証の取得検討
ISMS認証を取得している企業は、取引先への信頼度が高く、M&Aでもプラス評価を受けやすい。取引先からのセキュリティ要件を満たせる企業は商取引上も優位に立てる。ISMS取得企業では「セキュリティ対策が取引につながった」と回答する企業が73.9%という調査結果もある。

「セキュリティが良い会社は高く売れる」という逆転の発想

セキュリティをコストと捉えると、企業は投資を後回しにする。しかしM&Aの文脈では、セキュリティ体制は資産価値の一部だ。

整備された体制を持つ企業は、買い手にとって「買収後のリスクが低い」とみなされる。これはバリュエーションの引き上げ要因になりうる。逆にセキュリティに問題がある企業は、発見されるたびに価格が削られていく。

特にEC・SaaS・HR Techなど個人情報や金融データを扱う業種では、この差が顕著だ。ECサイト経由でクレジットカード情報が漏洩するリスクは非常に高く、攻撃を受けた企業の約79%でカード情報が流出しているという統計もある。万が一カード情報が漏洩した場合、カード会社からの重いペナルティや高額なフォレンジック調査（原因究明調査）費用が発生するだけでなく、決済システムの利用停止によって事業の売上が突如ゼロになるリスクを孕んでいる。このような「事業継続そのものを脅かすリスク」が発覚すれば、買い手はディールを即座にブレイク（中止）するか、数億〜数十億円規模の大幅な減額を要求せざるを得ない。

M&Aの場面でこうしたリスクが潜在しているとわかれば、当然、買い手は相応の価格調整を要求する。セキュリティへの先行投資は、企業価値を守るための経営判断だ。

IT・EC系企業が売却を検討する際のセキュリティチェックリスト

以下は、売却前の自己点検として活用できる最低限のチェックリストだ。

このチェックリストで未対応の項目が多ければ、DDで指摘を受けるリスクが高い。売却を3〜6ヶ月後に控えている段階から整備を開始することが、適正な企業価値での売却につながる。

まとめ——セキュリティはM&Aの「価値証明書」になる

M&Aにおけるセキュリティリスクは、今や財務・法務と並ぶ重要なDD項目だ。買い手は潜在リスクを価格に転嫁し、問題を隠蔽すれば法的リスクまで生じうる。

一方で、セキュリティが整備された企業は、その体制そのものが資産になる。高く売れる会社とは、スコアの高い企業だけでなく、「リスクが少ない会社」でもある。

売却を検討しているIT・EC系企業のオーナーにとって、セキュリティへの投資は「コスト」ではなく「価値向上の手段」だ。DDが始まる前に、今すぐ自社の状態を確認することが、最善の準備となる。