【IT PMI連載 第2回】買収先のITインフラ、デューデリジェンスで見落としがちなポイント
M&AにおけるIT デューデリジェンス(IT DD)は、財務・法務DDに比べて軽視されがちです。特に中小企業のM&Aでは、IT DDが省略されたり、形式的なチェックリストの確認だけで終わったりするケースが少なくありません。
しかし、買収後にIT関連の問題が発覚すると、統合コストの大幅な増加や業務停止リスクにつながります。本記事では、IT DDで見落とされがちなポイントを解説します。
見落とし1:ライセンス契約の承継条件
SaaSやソフトウェアのライセンス契約には、「事業譲渡・株式移転時に再契約が必要」「M&A時は追加料金が発生」といった条項が含まれている場合があります。
特に以下のケースは要注意です。
- Microsoft EA(Enterprise Agreement)やCSP契約:契約主体の変更に伴い、再交渉が必要になることがある
- 特定ベンダーとのボリュームライセンス:M&A条項で価格が変わるケースがある
- 基幹業務システム:カスタマイズ開発の著作権がベンダー側にある場合、利用継続の確認が必要
チェックポイント: 主要なライセンス契約のM&A条項・承継条件を確認し、追加コストの有無を把握する。
見落とし2:シャドーITの存在
シャドーITとは、IT部門(または管理者)が把握していないまま社員が個人的に利用しているクラウドサービスやアプリのことです。
買収先の「公式なIT資産台帳」に載っていないサービスが実際には業務で広く使われており、そこに顧客データや社内機密が保存されている——というケースは珍しくありません。
シャドーITの存在は、統合コストの見積もりの狂い、セキュリティリスク、データ漏洩リスクにつながります。
チェックポイント: ネットワークログやDNSログからの利用サービスの洗い出し、社員へのヒアリングによる実態把握。
見落とし3:セキュリティ体制の「実態」
「セキュリティソフトを導入している」「ファイアウォールがある」といった表面的な回答だけでは、実態は分かりません。
確認すべきは以下のような点です。
- セキュリティソフトの定義ファイルは最新か、管理コンソールで全端末を管理できているか
- 管理者アカウントのMFAは有効か
- 退職者のアカウントは適時に削除されているか
- パッチ適用のポリシーと実績はあるか
- インシデント対応手順が文書化されているか
- 過去にセキュリティインシデントが発生していないか(発生していた場合の対応内容)
特に中小企業では「ルールはあるが運用されていない」ことが多いため、文書だけでなく実際の設定や運用状態を確認することが重要です。
チェックポイント: セキュリティポリシーの有無だけでなく、実際の設定状態と運用実績を確認する。
見落とし4:ITインフラの老朽化と技術的負債
オンプレミスサーバーやネットワーク機器の老朽化は、DDの段階で把握しておかないと、買収後に「すぐに更新が必要」となり想定外のコストが発生します。
- サーバーOSのバージョン(サポート切れのWindows Serverが稼働していないか)
- ネットワーク機器のEOL(End of Life)状況
- 自社開発・カスタマイズシステムの保守状況(開発元が倒産している等)
- バックアップの方式と復元テストの実施状況
チェックポイント: 主要なインフラ機器・システムの導入年、EOL/EOS時期、更新に必要な概算費用。
見落とし5:IT人材・ナレッジの属人化
買収先のIT環境に関する知識が特定の個人に依存しているケースは非常に多いです。その人物が退職すれば、IT環境のブラックボックスが残ります。
- IT管理者は何名いるか、兼任か専任か
- 管理者パスワードの管理方法
- 構成図、手順書、設定ドキュメントの有無
- ベンダーとの契約・連絡先の管理状況
チェックポイント: IT関連のドキュメント整備状況と、キーパーソンの退職リスクを評価する。
IT DDは「コスト」ではなく「保険」
IT DDにかかるコストは、買収後に問題が発覚した場合の対応コストと比較すれば微々たるものです。テナント統合の想定コストが数百万円ずれる、セキュリティインシデントで数千万円の損害が出る、といったリスクを事前に把握できるだけでも、IT DDの価値は十分にあります。
情シス365のProject365では、M&A前のIT DD支援から、買収後のIT統合プロジェクトの推進まで一貫して対応しています。M&A仲介会社との連携実績もあります。