「リスクまで買収」して
想定外のコスト増で泣きっ面に蜂

 135億円相当もの巨額な制裁金は、買収時に企業の価値を評価するために実施するデューデリジェンスにおいて、サイバーリスクへの評価を十分に行っていなかったことから導き出されたものだと監督当局も明言している。(*2)

 サイバーリスクを評価できていれば、システムを保護するためにもっと多くのことができたのではないのか、というのがその言い分だ。

 そして近年、企業買収においてマリオットのように「リスクごと買収してしまった」ことで膨大な対価を支払う事例が増えてきている。このことが、今後増えていくであろう企業買収に伴って、注意しなくてはならない重要な要素の一つである。

 例えば、2017年に米ヤフー(日本のヤフーとは別会社)が米通信大手のベライゾン・コミュニケーションズに買収されたケースでは、その買収交渉の最中に過去に発生した情報漏えいが発覚し、買収額がおよそ400億円相当も減額されている。

 その結果、役員賠償責任で株主から集団訴訟を起こされ、昨年1月にはカリフォルニア州の裁判所にておよそ30億円相当の和解金が確定した。さらに、これら一連の出来事は株主に重大な損失を与えているということで、米証券取引等監視委員会からはおよそ35億円相当もの制裁金も科されている。

 当然、漏えいの調査に掛かった費用やその後のセキュリティ対策費用、また訴訟対応費用などはこれらとは別に掛かるわけだから泣きっ面に蜂だ。ちなみに、訴訟対応費用だけでおよそ50億円相当もかかっている。

(*2)"Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach"(『ico.』2019年7月9日)