はじめに

我が国におけるIT・デジタル業界^注1のM&A件数は増加傾向にある。国内IT企業のM&A件数は、2014年上半期は200件弱であったが、2024年上半期は670件を超え、10年間で3倍以上の水準に達している^注2。
増加の要因としては、慢性的な人材不足や、経済産業省設置の有識者会議が「2025年の崖」^注3と表現した国内企業の基幹システム老朽化への対応の必要性が挙げられる。また、情報通信産業の名目GDPは50兆円を超え、商業・不動産業に次ぐ大きさである^注4など、もともと市場規模が大きい業界であるという点も指摘できる。さらに、機械や工場等の大規模な設備投資は不要な業態が多いため、ベンチャー企業を含む中小企業が多数存在するうえに、資金調達需要がそこまで大きくないことから、ベンチャー企業のエグジット手段としても、上場と同等かそれ以上にM&Aの存在感が大きいという可能性もあるだろう。

これらの要因はいずれも短期間で消失するような性質のものではないため、IT・デジタル業界のM&Aは、今後も毎年相当数が実施されていくものと見込まれる。そこで本稿では、同業界に関連する主要な法令を踏まえつつ、同業界に係るM&Aを進めるにあたっての法務面での留意事項について解説する。

留意すべき主な法律

IT・デジタル関係の事業は、その規模の大小にかかわらず、個人情報を含む大量のデジタルデータの国境を越えた収集・利活用を伴うことが多く、その結果として国内外のデータ保護法制、セキュリティ法制、通信法制等の遵守を求められることになる。以下、IT・デジタル業界のM&Aに際して留意すべき主な法律を紹介する。

個人情報の保護に関する法律

上記のとおり、IT・デジタル関係の事業は、規模の大小にかかわらず、個人情報を含む大量のデジタルデータを収集・利活用している場合が少なくない。特に個人情報をデータベース化して事業の用に供している企業は、個人情報の保護に関する法律（以下、「個人情報保護法」という）に定める個人情報取扱事業者（同法16条2項）として、同法の規律に服することになる。
個人情報保護法が個人情報取扱事業者に義務づける事項は多岐にわたるが、そのうち主なものは図表1のとおりである。

図表1　個人情報取扱事業者の主な義務

※　個人情報保護法上、「個人データ」は、個人情報のうち、個人情報データベース等（特定の個人情報をコンピュータを用いて検索することができるように体系的に構成するなどした情報の集合物。同法16条1項）を構成するものと定義されている（同条3項）。

特に、IT・デジタル業界に属する企業の多くは何らかの形で個人データを国内外の第三者へ提供しているところ、そのことについて本人の同意を得られているのか、得られていない場合は法定の例外要件を満たしているのかが、実務上しばしば問題になる。
法定の例外要件として、個人データの取扱いの委託（個人情報保護法27条5項1号）や共同利用（同項3号）に伴う提供であれば、少なくとも国内の第三者への個人データの提供にあたって本人の同意は不要となる。もっとも、「委託」といえるためには、提供先において委託された業務以外に当該個人データを取り扱わないものとされていることが必要であるし^注5、取得済みの個人データを後から「共同利用」名目で第三者に提供する場合、そのことについて本人が通常予期し得ると客観的に認められる必要がある^注6など、制約も多いため留意が必要である。
また、提供先の第三者が外国にある場合、「委託」や「共同利用」の例外は適用されない。個人情報取扱事業者としては、原則どおり本人の同意を得るか、または契約等によって当該第三者をして個人情報保護法上の義務と同等の義務を遵守できる体制を整備させるか、いずれかの方法をとる必要がある（同法28条1項）^注7。
たとえば、海外のクラウドサービスプロバイダ等と提携してIT・デジタル関係の事業を営む企業を買収しようとするならば、こうした規制をクリアできているかどうかの確認は、事業の継続可能性に関わるという意味で極めて重要な意味を持ち得る。

海外のデータ法制

国内の個人に関する個人データを外国にある第三者へ提供する事業が個人情報保護法に基づく規制の対象となることは上記のとおりであるが、反対に外国に所在する個人に関する個人データを取得する国内の事業は、当該外国における個人データ保護法制の規律対象となり得る。
とりわけインターネット上で展開するビジネスは、世界中どこからでもアクセス可能なウェブサイトが主たる事業の場となる以上、世界中のすべての国・地域における個人データ保護法制の適用を受ける可能性が潜在的には存在するといえる。もっとも、だからといって、そのようなビジネスを営む企業を買収するにあたり、世界中の個人データ保護法制を調べて遵守状況を確認することは、時間面・費用面で現実的とは思われない。そこで、適用可能性の大小、規制の厳しさ（理論的には、最も厳しい規制を敷いている法制を遵守すれば、それ以外の法制も概ね遵守できる可能性が高いといえる^注8）、当局による執行の活発さおよび執行された場合の制裁の厳しさ等を考慮しつつ、リスクベースで調査対象を限定する作業が必要となるだろう。また、調査対象とすることに決めた法制に対する調査の深度（現地の法律専門家に調査を委託するのか、それとも日本国内からアクセス可能な文献等の調査に留めるのか等）もリスクベースで考える必要がある。
なお、リスク判断にあたっての考慮要素も結局は各国・地域の個人データ保護法制の内容や解釈次第であるため、調査の対象および深度を決める段階から、専門家の助言を受けるなどしつつ、ある程度的を絞って検討を進めることが肝要である。特に適用可能性の大小の判断にあたっては、EU域内に適用される個人データ保護法制である一般データ保護規則（GDPR）に関して欧州データ保護会議（EDPB）が発するガイドライン^注9上、当該サービスで使用されている言語および通貨、マーケティング活動の態様等が考慮要素となる旨示唆されていることなどが参考になる。

以上とは別に、個人情報に限らずデータを活用したビジネスを国境を越えて展開している企業の場合、産業データの流通促進やサイバーセキュリティに関する海外の規制の対象とならないかも確認する必要がある。たとえば、2025年9月に適用開始が予定されるEUのデータ法（Data Act）は、EU域内においていわゆるIoT製品の製造・販売等を行う事業者に対し、製品の利用により生成されるデータにユーザーがアクセスできるように設計することなどを義務づける内容となっている。また、同じくEUのサイバーレジリエンス法（Cyber Resilience Act）は、2026年9月以降の適用開始が予定されているところ、EU域内で利用可能なデジタル製品の製造業者に対し、サイバーセキュリティに関する必須要件（既知の脆弱性の排除、セキュリティアップデートを可能とすることなど）を充足するよう設計・開発・製造することや、脆弱性に対処するための措置（SBOM （ソフトウェア部品表） の作成等）の実施等を義務づける内容となっており、関係する事業を営む企業の買収を検討する際には留意が必要である。

不正競争防止法

デジタルデータの収集・利活用を通じて収益を得ているビジネスの価値を判断するにあたって、別途重要となるのが不正競争防止法である。同法は、「営業秘密」（同法2条6項）や「限定提供データ」（同条7項）の定義に該当する情報の不正取得・使用・開示等を「不正競争」とし、損害賠償請求や差止請求（および、営業秘密については刑事罰）の対象とすることで、これらの情報の保護を図っている。「営業秘密」 および「限定提供データ」に該当するための要件は、それぞれ 図表2および図表3のとおりである。

図表2　「営業秘密」として保護を受けるための要件

出典：経済産業省「データ利活用のポイント集」27頁。

図表3　「限定提供データ」として保護を受けるための要件

出典：経済産業省「データ利活用のポイント集」27頁。

特にビッグデータを取引の対象とするなどして活用しているビジネスの場合、保有する情報そのものが重要な資産価値を有することになるが、その評価にあたっては、 当該情報が「限定提供データ」として保護を受けるための要件を満たしているのか、とりわけ適切にアクセス制限がなされているなど、電磁的管理性要件を満たすような態様で管理されているのかの確認が必須となる。

電気通信事業法

インターネット上でビジネスを展開する企業を買収しようとするならば、電気通信事業法の適用対象とならないか否かも確認する必要がある。同法は、「電気通信役務」を他人の需要に応ずるために提供する事業（電気通信事業。同法2条4号）を営む場合に原則として総務大臣の登録または総務大臣への届出を求めるところ（同法9条、16条1項）、「電気通信役務」とは、電気通信設備（PC、サーバ等）を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいうとされており（同法2条3号）、定義上、極めて広範なサービスが含まれ得る。一定の適用除外規定（同法164条）は存在するものの、特に「他人の通信を媒介」するサービスが適用除外となるケースは限定的である（図表4）。

図表4　電気通信事業法に基づく登録・届出の要否

出典：総務省ウェブサイト「電気通信事業参入・変更手続の案内」。

たとえばクラウドサービスに附随してチャット機能やウェブ 会議機能を提供すれば、原則として「他人の通信を媒介」していることになり、少なくとも総務大臣への届出が必要となる。この規制は一般に考えられているよりも適用範囲が広く、対象会社自身が規制対象となっていることに気づいていない（届出義務違反の状態となっている）ケースも考えられるため、デューデリジェンスにあたっては、対象会社自身の認識のみに頼ることなく、客観的に見て規制対象となるようなサービスを提供していないかどうかを確認することが重要である。

外国為替及び外国貿易法

IT・デジタル関係の事業の中には、経済安全保障の観点から重視される類型のものも存在するため、買主が非居住者や外資系企業等、外国為替及び外国貿易法（以下、「外為法」という）上の外国投資家（同法26条1項）にあたる主体であるM&Aにおいては、同法に基づく対内直接投資規制に留意が必要である。
対内直接投資規制は、対象会社またはその子会社が一定の業種を営む場合、一定の投資（上場会社の1%以上の株式取得、非上場会社の1株以上の株式取得等）について日本銀行を通じて事業所管大臣への事前届出を求めるなどする規制である（同法27条）。この「一定の業種」には電気通信事業、ソフトウェア業、情報処理サービス業等が含まれ、前記4.のとおり「電気通信事業」の範囲が極めて広範であること等を加味すると、「IT・デジタル業界」に属する企業のかなりの範囲が含まれるといえる。役員に就任しないなどの一定の基準を遵守できる場合は事前届出義務が免除される場合もあるが（同法27条の2）、いわゆるコア業種に含まれる一部のサイバーセキュリティ関連業種は免除不可とされる（対内直接投資等に関する政令3条の2第2項）。
事前届出義務の対象となる場合、届出受理日から原則として30日が経過するまでは取引を完了できないなど、スケジュールに大きな影響が及ぶため、M&Aの初期段階で対応の要否を検討する必要がある。

法務デューデリジェンスのポイント

IT・デジタル業界の企業を対象としたM&Aでは、法務デューデリジェンスにおいて前記Ⅱで触れたような規制の適用可能性および適用される場合の遵守状況を確認することが必要となるが、それ以外のポイントとしては、たとえば以下が挙げられる。これらのポイントを確認した結果として発見された問題点に対しては、たとえば表明保証の例外事項としたうえで特別補償の対象とするなど、最終契約における手当の可否・要否を検討することになる。

対象会社の資産

（1） ソフトウェア

IT・デジタル業界の企業が典型的に保有している重要な資産として、ソフトウェアが挙げられる。その資産価値や、第三者の知的財産権を侵害していないかどうかなどを正確に確認・検証するためには、対象会社からソースコードを開示してもらう必要があるが、対象会社の立場に立つと、M&Aの成否も不明な段階で収益の源泉たるソースコードを外部の第三者に開示することは、ビジネス上困難であることも少なくない。ソースコードの開示が難しい場合、買主の立場では、対象会社への質疑応答ベースになるが、たとえばオープンソースソフトウェア（OSS）等の第三者が権利を保有するプログラムを利用していないか、利用している場合は規約等を遵守しているか、といったポイントはいずれにしても確認しておく必要があるだろう。

（2） その他重要なデータ

ソフトウェア以外を含め、重要な資産価値のあるデータを保有している企業の場合、これをサイバーセキュリティリスク等の脅威からどのように保護しているかも確認する必要がある。不正アクセス対策等の保護措置だけでなく、リスクをカバーするのに十分な保険に加入しているかという視点も重要となる。

対象会社の事業・契約

（1） サービス利用規約

インターネットを通じたBtoCビジネスを営む企業の場合、サービス利用規約中の条項が消費者契約法に照らし無効となるようなものでないか確認する必要がある。たとえば以下のような条項は無効となり得る（同法8条から10条まで）。

・　企業側に故意・重過失がある場合の責任を一部免除する条項

・　企業側に軽過失がある場合の責任を全部免除する条項

・　消費者の解除権を放棄させる条項

・　解除に伴う損害賠償額の予定であって平均的な損害額を超えるもの

BtoBビジネスの場合は消費者契約法の適用を受けないが、それでも信義則違反として合意しなかったものとみなされてしまうような条項（民法548条の2第2項）がサービス利用規約に含まれていないかどうかは留意すべきである。
また、利用規約を用いたビジネスの場合、少なくともこれを契約の内容とする旨を相手方に表示しなければ、条項どおりの契約が成立したものとはみなされないため（同法548条の2第1項）、利用規約のユーザーへの表示・同意取得のプロセスに瑕疵がないかも確認する必要があるだろう。

（2） 他社のプラットフォームやITサービスへの依存度

対象会社が販売・提供する製品やサービスが他社のプラットフォームやITサービスに依存している場合、M&Aの成立後も当該プラットフォーム等の利用が継続できるかどうかは、事業の継続可能性に関わる極めて重要な論点となり得る。たとえばTSAにおける利用やPMIにおける統合が当該プラットフォーム等の利用規約等に抵触する場合、当該プラットフォーム等の運営事業者の事前の承諾が得られるかを検討する必要がある。また、利用規約違反の有無とは別に、認証（accreditation）を与えた相手方とのみ取引を行うものとしているITサービスベンダー等も存在するところ、M&Aの成立後も継続して認証を受けられるかどうかは重要なポイントとなるだろう。

対象会社の労務

IT・デジタル業界は、ソフトウェア業を中心に多重下請構造の商流が多いため、雇用契約を締結していない者に対して指揮命令を行っている例（いわゆる偽装請負）がないかどうかは典型的に問題となる論点である。
また、テレワークや客先常駐等、事業所外での労働機会が少なくないため、労働時間管理を適切に行っているか、時間外労働に対する割増賃金の未払いがないかも確認する必要があるだろう。

対象会社の紛争

サイバーセキュリティリスクに起因する紛争・トラブルや、業務委受託先との間の紛争・トラブルは、IT・デジタル業界で特に問題となるものとして、法務デューデリジェンスにおいてもその有無や状況を確認する必要がある。
特にシステム開発紛争リスクの確認にあたっては、技術的な知見が求められる場面が少なくないため、買主側では法務・総務部門だけでなくIT部門等の専門部署の人員も参画させるなど、デューデリジェンス体制の構築段階から対応を検討することが重要である。

→この連載を「まとめて読む」

1. 「IT・デジタル業界」の外延は明らかでないが、本稿では、概ね、日本標準産業分類における大分類G（情報通信業）に分類される事業所のうち、通信業、情報サービス業およびインターネット附随サービス業を念頭に置いている。[↩]
2. レコフM&Aデータベース調べ。[↩]
3. デジタルトランスフォーメーションに向けた研究会「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（2018年9月7日）参照。老朽化に対応できない場合、2025年以降、年間最大12兆円の経済損失が生じる可能性が指摘されている。[↩]
4. 総務省「ICTの経済分析に関する調査報告書」（2024年3月）参照。[↩]
5. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」（2025年6月一部改正） 3-6-3（1）。[↩]
6. 前掲注5）3-6-3（3）。[↩]
7. 例外的に、個人情報保護委員会が別途定める一部の国・地域（2025年7月現在は欧州経済領域（EEA）協定に参加する30か国および英国）にある第三者への提供は、本人の同意取得も体制整備も不要とされている。[↩]
8. ただし、「厳しさ」の尺度もさまざま考えられることに留意が必要である。たとえば本文中で後述するEUのGDPRは、しばしば「世界一厳しい」などと紹介されるが、個々の規制内容に着目すると、少なくとも条文上はGDPRよりも厳しい規制を置いている（ように見える）国・地域も少なくない。[↩]
9. EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), Version 2.1, Jan. 7, 2020.[↩]