M&Aで買収を検討している企業のシステムは、外から見ると中身がほとんど分かりません。財務や法務のデューデリジェンス(DD)は会計士や弁護士に依頼して進めているものの、「対象企業のシステムが本当に健全なのか」「買収後に想定外のIT投資が必要にならないか」までは見えてこない、という不安を抱えていませんか。
特に社内にITの判断ができる専任者がいない場合、システムの良し悪しを自力で評価するのは困難です。M&Aアドバイザーや会計士から「ITデューデリジェンスもやった方がいい」と言われても、いつ・誰に・何を依頼すれば、買収の最終判断に使える材料が手に入るのかが分からず、判断を先送りにしてしまうケースは少なくありません。
ITデューデリジェンス(IT DD)とは、まさにこの「システムのブラックボックス」を買収前に明らかにし、隠れたリスクや想定外コストを把握するための調査です。専門知識がなくても、何が調べられて、どんな判断材料が得られるのかを理解できれば、外注の意思決定は一気に進めやすくなります。
本記事では、ITデューデリジェンスとは何かという基本から、行わなかった場合に起きる失敗例、調査で明らかになること、進め方の手順、費用と期間の目安、外部に依頼する際のポイントまで、IT専門知識がない発注者の視点で順を追って解説します。読み終えるころには、自社のM&Aでどこに依頼し、何を要望すればよいかが整理できる状態を目指します。
システム開発の費用を正しく理解するガイドブック――相場・見積チェックリスト・予算策定テンプレート付き
この資料でわかること
発注検討者がシステム開発の費用体系を正しく理解し、「この見積は適正か」「どのくらい予算を確保すれば良いか」を自分で判断できるようになること。
こんな方におすすめです
- システム開発の発注を初めて担当する方
- 複数社の見積もりを比較・評価したい方
- IT投資の社内稟議を通す根拠を固めたい方
入力いただいたメールアドレスにPDFをお送りします。
ITデューデリジェンス(IT DD)とは
ITデューデリジェンス(IT DD)とは、M&Aの対象企業が持つシステムやIT資産、運用体制、セキュリティを買収前に調査し、隠れたリスクや想定外のコストを把握する手続きのことです。IT-DD、ITDDと表記されることもありますが、いずれも同じ調査を指します。
買収の対象となる企業は、業務を支えるシステムや顧客データ、IT人材といった「目に見えにくい資産」を抱えています。これらが健全に運用されているのか、それとも将来大きな投資や対応を迫られる火種を抱えているのかを、買収の意思決定をする前に確認するのがITデューデリジェンスの役割です。言い換えると、「買ったあとで困らないために、システム面のリスクを先に洗い出す」ための調査といえます。
デューデリジェンス(DD)とは|財務・法務との違い
デューデリジェンス(DD)とは、M&Aで対象企業を買収するかどうかを判断するために、その実態を多面的に調査することを指します。一般的には、財務状況を調べる財務DD、契約や訴訟リスクを確認する法務DD、税務リスクを確認する税務DDなどがあり、それぞれ会計士や弁護士、税理士といった専門家が担当します。
ITデューデリジェンスは、これらと並ぶ調査の一分野ですが、対象が「システムやIT資産」である点が大きく異なります。財務DDが決算書という数字に表れた情報を扱うのに対し、IT DDは決算書には金額としてしか現れないシステムの「中身」を掘り下げます。たとえば、財務DDでは「システム関連費用が年間いくらか」は分かっても、「そのシステムが老朽化していて、数年以内に大規模な再構築が必要か」までは見えません。この見えない部分を明らかにするのがITデューデリジェンスです。
なぜM&Aでシステム調査(IT DD)が重要なのか
現代の事業は、受発注、在庫管理、顧客管理、会計など、あらゆる業務がシステムに支えられています。システムは事業継続の生命線であり、ここに問題があれば、買収後に事業そのものが立ち行かなくなるリスクすらあります。
ところが、システムは外から見ても健全性が判断しにくいという特徴があります。見た目には問題なく動いていても、内部では老朽化が進んでいたり、特定の担当者しか触れない属人化した状態だったり、セキュリティ上の穴が放置されていたりすることがあります。こうした「ブラックボックス化」したリスクは、買収後に表面化してから対応すると、当初の想定をはるかに上回るコストや時間がかかります。買収価格を決める段階でこれらを把握できれば、価格交渉や契約条件に反映でき、買収後の想定外の出費を防げます。これがITデューデリジェンスを行う最大の意義です。
ITデューデリジェンスを行わないと何が起きるか(失敗例)
ITデューデリジェンスにコストをかけるべきか迷っている方にこそ、まず「行わなかった場合に何が起きるか」を知っていただきたいところです。システム調査を省略したことで発生したリスクは、最終的に買収価格に織り込めなかった想定外コストとして買い手にのしかかります。ここでは、野村総合研究所(NRI)が紹介する3つの代表的な失敗パターンを、発注者の損失という観点から見ていきます(ITデューデリジェンスの失敗例・NRI)。
セキュリティの見落としによる買収後トラブル
1つ目は、セキュリティ対策の評価が表面的なものにとどまり、買収後に潜在していた脆弱性が露呈するケースです。NRIの事例では、買収後に顧客情報の漏洩と基幹システムの業務停止を招いたとされています。
情報漏洩が起きれば、損害賠償や顧客への補償、信用の失墜といった直接的な損失に加え、対応のための人員と時間も奪われます。基幹システムが止まれば、その間の事業も停止します。これらはいずれも買収時の価格には反映されていない「想定外の負債」であり、後から発覚するほど対応コストは膨らみます。セキュリティ要件をどう確認すべきかについては、セキュリティ要件の書き方ガイドも参考になります。
老朽化システムによる統合コストの想定外発生
2つ目は、買収後になって対象会社が極めて老朽化した基幹システムを運用していたことが判明するケースです。NRIの事例では、統合計画の遅延と、当初の見込みを大幅に上回るコストの発生につながったとされています。
老朽化したシステム(レガシーシステム)は、新しいシステムとの連携が難しく、改修できる技術者も限られるため、刷新には多額の投資と長い期間がかかります。本来であれば買収価格の交渉材料にできたはずの再構築費用を、買収後に丸ごと自社で負担することになりかねません。老朽化システムが抱える根本的なリスクについては、レガシーシステムとは?「2025年の崖」のリスクで詳しく解説しています。
キーパーソン・IT人材の流出
3つ目は、買収後になって対象会社の多くのIT人材やキーパーソンがすでに退職していたことが判明するケースです。NRIの事例では、設計書も更新されないまま、システム運用のノウハウが特定の人物に属人化していたとされています。
システムは、それを理解し運用できる人材がいて初めて価値を発揮します。中核となる人材が抜けてしまえば、システムの維持・改修が困難になり、外部に高額な費用を払って解析を依頼する事態にもなりかねません。人材という「目に見えない資産」の状態も、買収前に把握しておくべき重要な調査対象です。
ITデューデリジェンスで明らかになること(調査項目)
ここからは、ITデューデリジェンスを依頼すると具体的に何が分かるのかを見ていきます。調査項目は、一般的に次の5つの分類で整理されます(ITデューデリジェンスの調査項目・AGSコンサルティング)。それぞれについて、得られた結果を発注者がどうM&A判断に使えるかも合わせて押さえておきましょう。
ITインフラ・システム構成の把握
サーバーやネットワークといったハードウェア、業務アプリケーションやソフトウェアの種類とスペック、システム同士がどう連携しているかといった全体像を把握します。特定の外部ベンダーにどれだけ依存しているかも重要な確認ポイントです。
この結果から、システムが自社の事業を問題なく支えられる状態か、特定ベンダーへの依存が高くて将来の選択肢が狭まっていないかを判断できます。買収後に自社システムと統合する際の難易度を見積もる基礎情報にもなります。
システム運用コストの可視化
システムの維持・運用にかかっている年間のランニングコスト(ライセンス費用、保守費用、クラウド利用料など)と、将来必要になるIT投資を可視化します。
これにより、買収後に毎年どれだけのIT費用が発生するのか、近い将来に大きな投資(システム刷新やサーバー更新など)が控えていないかが見えてきます。将来の必要投資額が分かれば、買収価格や取引条件に織り込むことができます。システム関連の費用感をつかむうえでは、システム開発の費用相場も参考になります。
セキュリティリスクの評価
システムにどのような脆弱性があるか、サイバー攻撃に対する備え(不正アクセス対策、データの暗号化、アクセス権限の管理など)がどの水準にあるかを評価します。
ここで重大な脆弱性が見つかれば、買収後に対応するためのコストやリスクを事前に把握でき、価格交渉や、売り手側に改善を求める交渉の材料になります。先ほどの失敗例で見たように、セキュリティの見落としは買収後の大きなトラブルに直結するため、特に重視したい項目です。
IT運用の組織体制
システムを誰が・どのように運用しているか、運用が特定の人物に属人化していないか、社内に必要なIT人材が揃っているかといった体制面を確認します。
この結果から、買収後にシステムを安定して運用し続けられるか、キーパーソンが抜けた場合のリスクはどの程度かを判断できます。属人化が進んでいる場合は、引き継ぎの計画や人材確保の手当てを買収前から準備できます。
統合(PMI)に向けた親和性
買収後に対象企業のシステムを自社のシステムとどの程度スムーズに統合できるか、その親和性や難易度を評価します。PMI(買収後の統合プロセス)を見据えた調査項目です。
統合の難易度が高いと分かれば、統合にかかる期間とコストを事前に計画でき、買収後のシナジー(相乗効果)がいつ・どの程度実現できるかの見通しも立てやすくなります。
ITデューデリジェンスの進め方・手順(5ステップ)
ITデューデリジェンスは、専門家に丸投げするものではなく、発注者が要点を押さえて関与することで調査の質が大きく変わります。ここでは一般的な進め方を5つのステップで整理し、各段階で「発注者が関与すべきこと」と「専門家に任せること」を切り分けて説明します。
ステップ1:調査チームを組成する
最初に、調査を担うチームを組みます。社内のM&A担当者や経営企画に加え、システムを評価できる外部の専門家を加えるのが一般的です。社内にIT判断ができる人材がいない場合は、この外部専門家の存在が調査の質を左右します。
発注者が関与すべきは、M&Aの目的を専門家に共有することです。何のための買収で、買収後にどう事業を伸ばしたいのかを伝えることで、専門家は調査の焦点を定められます。
ステップ2:秘密保持契約(NDA)を締結する
調査では対象企業の機密性の高い情報を扱うため、調査を始める前に秘密保持契約(NDA)を締結します。これは情報の取り扱いを守るための前提となる手続きです。
契約の細部は専門家や法務に任せて問題ありませんが、発注者は「どこまでの情報にアクセスできるか」を確認しておくと、後のステップで調査範囲を判断しやすくなります。
ステップ3:調査方針と確認項目を決める
次に、何を重点的に調べるかという調査方針と確認項目を決めます。限られた時間と予算の中で全てを深く調べることは難しいため、M&Aの目的から逆算してスコープ(調査範囲)を絞ることが重要です。
ここは発注者が最も関与すべき段階です。「この買収で最も実現したいことは何か」「最も避けたいリスクは何か」を言語化し、専門家に伝えることで、調査が表面的なチェックで終わらず、本当に知りたいリスクの発掘に集中できます。
ステップ4:資料分析とヒアリングを実施する
調査方針が固まったら、提供された資料の分析と、対象企業の担当者へのヒアリングを実施します。この実務は外部専門家が中心となって進めます。
注意したいのは、提出されたドキュメントと実態が食い違うケースがあることです。たとえば設計書が最新の状態に更新されていない、運用の実態が書類に表れていないといったことは珍しくありません。専門家は、資料を鵜呑みにせず、ヒアリングを通じて「見えないリスク」を掘り起こします。資料が不足している場合でも、仮説を立てながら調査を進めるのが経験ある専門家の進め方です。
ステップ5:調査結果をM&A判断・取引条件に反映する
最後に、調査で明らかになったリスクや必要投資額を、M&Aの判断や取引条件に反映します。ここがITデューデリジェンスの最終目的です。
発注者は、専門家から上がってきた調査結果を「買収を進めるか」「進めるとしていくらが妥当か」「どんな条件を付けるか」という経営判断に変換します。たとえば、老朽化システムの再構築に数千万円かかると分かれば、その分を買収価格から差し引く、あるいは売り手に改善を求めるといった交渉につなげられます。リスクをコストと期間に換算して経営判断に落とし込むことが、調査を活かす鍵です。
システム開発の費用を正しく理解するガイドブック――相場・見積チェックリスト・予算策定テンプレート付き
この資料でわかること
発注検討者がシステム開発の費用体系を正しく理解し、「この見積は適正か」「どのくらい予算を確保すれば良いか」を自分で判断できるようになること。
こんな方におすすめです
- システム開発の発注を初めて担当する方
- 複数社の見積もりを比較・評価したい方
- IT投資の社内稟議を通す根拠を固めたい方
入力いただいたメールアドレスにPDFをお送りします。
ITデューデリジェンスの費用と期間の目安
ITデューデリジェンスを検討するうえで、最も気になるのが「いくらかかり、どれくらいの期間が必要か」でしょう。ここでは相場の目安を示します。
費用相場と変動要因
費用は調査の深さによって大きく変わります。簡易的な診断であれば数十万円程度に抑えられることもありますが、詳細な調査を行う場合は数百万円のコストがかかると考えておくのが一般的です(ITデューデリジェンスの費用相場・AGSコンサルティング)。
費用が上振れする主な要因は、対象企業の規模や拠点数、システムの数、そして調査範囲の広さです。たとえば海外子会社が対象に含まれる場合や、サイバーセキュリティの調査を手厚く追加する場合は、その分費用が増える傾向があります。まずは何を最優先で調べたいのかを定め、簡易診断から始めるか詳細調査まで行うかを判断するとよいでしょう。
所要期間とスケジュールの目安
期間は、おおよそ2ヵ月程度を見込むのが一般的です。ただし、これも対象企業の規模や調査範囲によって前後します。
M&A全体のスケジュールは、財務DDや法務DDなど他の調査と並行して進むことが多いため、ITデューデリジェンスにも2ヵ月程度かかることを前提に、早めに着手することが重要です。買収の最終判断の直前になって慌てて始めると、十分な調査ができないまま結論を急ぐことになりかねません。
ITデューデリジェンスを外部に依頼する際のポイント
ITデューデリジェンスは、社内のIT部門で実施できる場合もありますが、多くの中小企業では外部の専門家に依頼することになります。ここでは、外注を判断する基準と、依頼先に何を伝えるべきかを整理します。
自社で実施するか外注するかの判断基準
自社で実施できるかどうかは、主に次の3点で判断できます。
- 社内にシステムを客観的に評価できるIT人材がいるか:システムの良し悪しを専門的に判断できる人材が社内にいなければ、調査の精度は上がりません。
- 客観性を保てるか:買収を推進したい立場の人だけで調査すると、リスクを過小評価してしまうおそれがあります。第三者の目を入れることで、冷静な評価が可能になります。
- 機密情報を適切に扱える体制があるか:対象企業の機密情報を扱うため、情報管理の体制も問われます。
これらに不安がある場合は、外部の専門家に依頼するのが安全です。特に初めてのM&Aで社内にIT判断ができる人材がいない場合は、外注を前提に検討するとよいでしょう。
依頼先の選び方・依頼時に明確にすべきこと
外注する際に最も重要なのは、依頼先に「何を達成したいのか」「何を最も避けたいのか」を明確に伝えることです。これが曖昧なまま依頼すると、調査が表面的なチェックリストの確認で終わり、本当に知りたかったリスクが見過ごされてしまいます。
依頼前に、次の観点を自分の言葉で整理しておくことをおすすめします。
- この買収で最も実現したいことは何か(例:対象企業の顧客基盤の獲得、技術力の取り込み)
- 最も避けたいITリスクは何か(例:買収後のシステム停止、想定外の再構築費用、情報漏洩)
- どこまでの予算と期間をかけられるか(簡易診断で十分か、詳細調査まで必要か)
- 調査結果を何の判断に使いたいか(買収可否の判断か、価格交渉の材料か、買収後の統合計画か)
依頼先の選び方としては、ITの技術評価ができることに加えて、見つけたリスクを「コストと期間」という経営判断に使える形に変換してくれるかを確認しましょう。技術的な指摘を並べるだけでなく、「このリスクに対応するにはいくら・何ヵ月かかる」という形で示してくれる専門家であれば、調査結果をそのままM&Aの意思決定に活かせます。これは、NRIが挙げる「失敗しないためのポイント」(目的から逆算した論点の絞り込み、仮説思考、表面的調査の回避、リスクのコスト・期間への変換)とも一致する視点です(NRIの解説)。
ITデューデリジェンスに関するよくある質問(FAQ)
Q. ITデューデリジェンスとは何ですか?
端的にまとめると、M&Aの対象企業が持つシステムやIT資産、運用体制、セキュリティを買収前に調査し、隠れたリスクや想定外のコストを把握する手続きです。財務DDや法務DDと並ぶ調査の一分野で、決算書には表れないシステムの「中身」を明らかにして、買収の意思決定や価格交渉に役立てることを目的としています。
Q. ITデューデリジェンスはどのタイミングで実施しますか?
買収の最終的な意思決定をする前、財務DDや法務DDと並行して実施するのが一般的です。期間は2ヵ月程度かかることが多いため、最終判断の直前ではなく、余裕を持って早めに着手するのが望ましいでしょう。調査で見つかったリスクを価格交渉や契約条件に反映するためにも、判断のタイミングから逆算してスケジュールを組むことが重要です。
Q. ITデューデリジェンスは自社だけで実施できますか?
社内にシステムを客観的に評価できるIT人材がいて、機密情報を適切に扱える体制があれば、自社での実施も可能です。ただし、買収を推進する立場の人だけで調査するとリスクを過小評価しやすいため、第三者の視点を入れることが推奨されます。社内にIT判断ができる人材がいない場合は、外部の専門家に依頼するほうが、調査の精度と客観性を確保できます。
まとめ
ITデューデリジェンスとは、M&Aの対象企業のシステムやIT資産、セキュリティを買収前に調査し、隠れたリスクや想定外コストを把握するための手続きです。本記事で解説した要点を振り返ります。
- 行わないと起きること:セキュリティの見落とし、老朽化システムの発覚、IT人材の流出といったリスクが、買収後に想定外のコストとして表面化する
- 明らかになること:インフラ構成、運用コスト、セキュリティリスク、組織体制、統合の親和性という5つの観点でシステムの実態が分かる
- 進め方:チーム組成からNDA締結、調査方針の決定、資料分析とヒアリング、調査結果の経営判断への反映という5ステップで進む
- 費用と期間:簡易診断なら数十万円程度、詳細調査なら数百万円程度。期間は2ヵ月程度が目安
- 外注のポイント:自社に客観評価できる人材がいなければ外注を前提に。依頼時は「最も実現したいこと」「最も避けたいリスク」を言語化して伝える
ITデューデリジェンスを成功させる鍵は、調査を専門家に丸投げするのではなく、「この買収で何を実現し、何を避けたいのか」という目的を発注者自身が言語化することにあります。その目的が定まれば、誰に・何を依頼すれば判断材料が揃うかが見えてきます。まずは自社のM&Aで最も避けたいITリスクは何かを整理し、その上で専門家に相談することが、納得のいく意思決定への第一歩となります。
システム開発の費用を正しく理解するガイドブック――相場・見積チェックリスト・予算策定テンプレート付き
この資料でわかること
発注検討者がシステム開発の費用体系を正しく理解し、「この見積は適正か」「どのくらい予算を確保すれば良いか」を自分で判断できるようになること。
こんな方におすすめです
- システム開発の発注を初めて担当する方
- 複数社の見積もりを比較・評価したい方
- IT投資の社内稟議を通す根拠を固めたい方
入力いただいたメールアドレスにPDFをお送りします。
