世界最大級のホテルチェーン、米マリオット・インターナショナルが、かつてない苦境に立たされています。イギリスの情報保護当局は2019年07月09日、同社に対して欧州連合(EU)の「一般データ保護規則(GDPR)」に基づき、約1億ポンド(約133億円)という巨額の制裁金を科す方針を明らかにしました。このニュースは世界中を駆け巡り、ビジネス界に大きな衝撃を与えています。
事の発端は、マリオットが2016年に買収したスターウッド・ホテルズ&リゾーツ・ワールドワイドのシステムから、膨大な顧客情報が漏洩したことにあります。2018年秋に発覚したこの事件では、世界で約3億4,000万件もの個人データが流出しました。SNS上では「一流ホテルでも安心できないのか」「買収先の負の遺産を引き継ぐのは恐ろしい」といった不安や驚きの声が相次いでいます。
驚くべきことに、ハッキング自体は買収前の2014年から始まっていました。つまり、マリオットは不正アクセスが継続している「穴だらけのシステム」を、それとは知らずに巨額の資金を投じて買い取ってしまったのです。英当局は、買収時の「デューデリジェンス(資産査定)」が不十分であったと厳しく指摘しました。これは、M&Aにおける新しいリスクの形を浮き彫りにしています。
専門家も警鐘を鳴らす「GDPR」の威力とデータ管理の責任
ここで重要なキーワードとなる「GDPR」について解説しましょう。これはEU域内の個人データ保護を目的とした法律で、違反した企業には世界売上高の最大4%という天文学的な制裁金が科される可能性があります。今回のケースでは、買収した側のマリオットが「どのようなデータを持ち、どう保護しているか」を適切に説明できなかったことが、厳しい判断に繋がったと推測されます。
日本企業にとっても、これは決して「対岸の火事」ではありません。欧州で事業を展開する企業を傘下に持つ場合、同様の法的リスクを常に抱えることになります。私自身の見解としても、これからの時代、企業の価値は財務諸表だけでなく「データの健全性」で計られるべきだと確信しています。セキュリティを疎かにする企業は、市場から退場を余儀なくされる厳しい時代が到来したのです。
専門家によれば、今後のM&Aでは「データ・デューデリジェンス」が必須項目になるといいます。これは、対象企業が個人情報を法的に正しく処理しているか、システムに脆弱性はないかを精査する作業です。具体的には、将来的な制裁金のリスクや、個人からの損害賠償リスク、追加のシステム改修コストなどを事前に洗い出し、買収価格に反映させる高度な戦略が求められます。
しかし、現場からは「チェックすべき項目が多すぎて対応しきれない」という悲鳴が上がっているのも事実です。特にスピード感が重視される買収交渉の中で、目に見えないデジタル資産の欠陥を見抜くのは至難の業でしょう。それでも、2020年には米国カリフォルニア州でも新しい消費者プライバシー法(CCPA)が施行されるなど、世界的な規制強化の流れは止まりません。
日本企業は、これまでの「事後対応」的な姿勢を改め、予算と人員をリスクに応じて適切に配分するインテリジェンスが試されています。マリオットの事例は、データの不備が企業のブランド価値を一瞬で毀損し、経営を揺るがす強力な武器になることを証明しました。私たちは今、データの重要性を再認識し、守りのガバナンスを経営の核心に据えるべき時期に来ているのではないでしょうか。