LASSIC Media らしくメディア

2026.07.03 らしくコラム

ITデューデリジェンスの進め方と着眼点

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

ITデューデリジェンスと投資判断のイメージ

この記事のポイント

  • ITデューデリジェンスは、投資を決める前に対象企業のIT資産とリスクを見極める調査です。
  • IT資産・技術的負債・セキュリティ・契約・運用体制・人材という6つの領域を確認します。
  • 調査結果は投資可否の判断だけでなく、買収価格の交渉材料としても使えます。

投資判断前にITリスクを可視化する調査 — ITデューデリジェンスとは

IT資産・技術的負債の評価のイメージ

ITデューデリジェンスとは、M&Aや大型のIT投資を実行する前に、対象企業・対象システムのIT資産とリスクを調査し、投資判断の材料とする一連の評価プロセスを指します。財務や法務のデューデリジェンスと並ぶ調査領域の一つで、IT DDと略されることもあります。買収後に想定外のシステム更改費用が判明する事態を避けるため、契約締結前の段階で実施するのが基本です。

図

ITデューデリジェンスの5段階

IT DDは投資対象企業のシステム構成やライセンス、開発体制、人材の状況を調べ、財務・法務のデューデリジェンスでは見えにくいリスクを補完する役割を持ちます。近年はITシステムが業務の根幹を支える企業が多く、システムの実態を把握しないまま投資判断を下すと、契約後に想定外のコストが発覚しかねません。

調査範囲は対象企業の規模や業種によって異なりますが、共通するのは「今のシステムでこの先何年運用できるか」「どこにどの程度の追加投資が必要か」という視点です。単なる現状確認にとどまらず、投資後の事業計画にIT関連のコストとリスクをどう織り込むかを判断する材料として使います。

投資担当者・情シス部門長にとってIT DDが重要なのは、システムの評価を怠ると買収価格の妥当性を検証できないためです。表面的な業績や事業計画だけで投資を決めると、システム更改費用や人材流出リスクが後から顕在化する可能性があります。

M&A件数が過去最多を更新 — IT DDの重要性が増す背景

日本国内のM&A件数は増加が続いています。レコフデータの集計によると、2025年の日本企業のM&A件数は5,115件となり、前年の4,700件から8.8%増加し、2年連続で過去最多を更新しました*1。金額ベースでも件数と同様に高水準で推移しています*1

M&Aの件数が増えるほど、投資判断の質が問われる場面も増加します。買収対象企業の数が増えれば、限られた期間で複数の候補を評価しなければならず、財務・法務に比べて後回しにされがちなIT領域の調査が疎かになるおそれがあるためです。

背景にはIT資産そのものが企業価値を左右する度合いの高まりもあります。経済産業省は2018年のDXレポートで、老朽化・複雑化・ブラックボックス化した既存システム(レガシーシステム)が残存すると、2025年以降に年間12兆円規模にのぼる経済損失が生じ得るという試算を示しました*2。この試算は国内企業全体を対象としたものですが、個別のM&A案件でも、対象企業がレガシーシステムをどの程度抱えているかは投資後の負担を左右する要素になります。

大型のIT投資においても同様の視点が必要です。基幹システムの刷新やクラウド移行のような投資は、契約前に現行システムの実態を把握しないまま計画すると、稼働後に追加費用や移行期間の延伸が生じやすくなります。M&Aに限らず、投資規模が大きいIT案件全般でIT DD的な事前評価の考え方が有効になってきているといえるでしょう。

IT資産・技術的負債・セキュリティ・契約・運用・人材 — 確認すべき6領域

ITデューデリジェンスで確認すべき領域は、大きく6つに整理できます。ここでは投資判断に直結する着眼点を領域ごとに解説します。

IT資産:システム構成とハードウェアの現状

サーバー・ネットワーク機器・業務システムの構成図、クラウド利用状況、資産台帳の整備状況を確認します。資産台帳が更新されていない企業では、稼働中のシステムを正確に把握できていない場合もあり、調査の初期段階でヒアリングと突合を行う必要があります。

技術的負債:老朽化と改修のしやすさ

技術的負債とは、過去の開発判断や保守の先送りによって蓄積した、改修コストの高いシステムの状態を指します。使用言語・フレームワークのサポート期限、ソースコードの可読性、ドキュメントの有無を確認し、将来の改修コストを見積もる材料にします。ブラックボックス化したシステムほど、投資後の改修に想定以上の期間と費用がかかりやすいでしょう。

セキュリティ:脆弱性と対応体制

直近の脆弱性診断・ペネトレーションテストの実施履歴、インシデント対応の記録、アクセス権限の管理状況を確認します。個人情報や決済情報を扱う事業では、セキュリティインシデントが発生した場合の損害賠償リスクが投資額に直接影響するため、優先度の高い調査項目になります。

ライセンス・契約:権利関係の整理

ソフトウェアライセンスの契約形態と利用実態が一致しているか、外部委託先との契約に譲渡制限やキーマン条項が含まれていないかを確認します。契約書の精査を怠ると、買収後にライセンス超過利用が発覚し追加費用が生じたり、主要な委託先との契約が承継できなかったりする事態が起こり得ます。

運用体制:保守・障害対応の実態

システムの保守を内製と外部委託のどちらで担っているか、障害発生時の対応フローと復旧実績、監視体制の有無を確認します。属人的な運用に依存している企業では、キーパーソンの離職がそのままシステム運用の継続性リスクに直結します。

人材:情シス体制の持続可能性

情シス部門・開発チームの人数、年齢構成、主要システムの知見が特定の個人に偏っていないかを確認します。担当者が一人しかいない、あるいは委託先とのやり取りを一人が独占しているような体制は、投資後の引き継ぎリスクとして評価する必要があります。

現状把握から報告書作成までの5段階の進め方

ITデューデリジェンスの進め方は、対象範囲の設定から報告書作成まで、おおむね5つの段階で構成されます。

対象範囲を設定し重要システムを特定する

投資規模や対象企業の事業内容に応じて、調査すべきシステムの優先順位を決めます。すべてのシステムを同じ深さで調査する必要はなく、事業の根幹を支える基幹システムや、顧客データを扱うシステムを重点的に見るのが実務上の進め方です。

資料開示を受け質問リストで深掘りする

対象企業からシステム構成図・契約書・保守記録などの開示を受け、不明点を質問リストにまとめて確認します。開示資料だけで判断できない場合は、情シス担当者へのインタビューを設定し、資料と実態の食い違いがないかを検証します。

6領域を横断してリスクを評価する

前章で挙げた6領域について、発見した事実を整理し、投資判断への影響度を評価します。単に問題点を列挙するのではなく、「改修に要する期間とおおよその費用感」「投資後の事業計画にどう影響するか」という観点で優先順位を付けることが求められます。

リスクの重要度を分類する

洗い出したリスクを、投資を左右しかねない重大なものと、投資後の計画で対応可能なものに分類します。この分類が曖昧なまま報告書を作成すると、経営層が意思決定に使える情報にならず、調査自体が形骸化しかねません。

報告書をまとめ投資判断の材料として提出する

調査結果を報告書としてまとめ、投資判断を行う経営層に提出します。報告書には発見事項だけでなく、価格交渉や契約条項に反映すべき論点を明記し、次章で述べる判断への反映につなげます。

価格交渉・契約条項・投資後計画 — 調査結果を判断に反映する方法

M&A・投資後計画への反映のイメージ

ITデューデリジェンスの結果は、投資可否の判断だけでなく、複数の実務的な場面で活用します。

買収価格の交渉材料にする

技術的負債やセキュリティ上の懸念が見つかった場合、その改修に要する見込み費用を算定し、買収価格の減額交渉やアーンアウト条項(将来の業績達成を条件に一部の対価を後払いする仕組み)の設計に反映します。調査結果を数字で示せるかどうかが、交渉の説得力を左右します。

表明保証・契約条項に落とし込む

ライセンス契約の不備やキーマン条項のリスクが判明した場合は、契約書の表明保証条項に反映し、後から問題が発覚した際の責任の所在を明確にしておきます。口頭確認で済ませず、書面に残すことが投資後のトラブル回避につながります。

投資後の対応計画に組み込む

投資を実行すると決めた場合でも、IT DDで判明したリスクをそのまま放置してよいわけではありません。改修の優先順位と概算スケジュールを投資後の事業計画に組み込み、統合や刷新のフェーズで対応する体制を事前に準備しておく必要があります。

この作業を投資判断前の限られた期間で内製だけで担うには、システム評価・セキュリティ診断・契約精査という異なる専門知識を横断的に扱える人員が必要です。情シス部門が通常業務と兼務しながら短期間で十分な調査を行うのは、負荷の大きい取り組みになりやすいのが実情です。

投資判断前の評価と統合後のPMIは別工程

ITデューデリジェンスとPMI(Post Merger Integration、M&A成立後の統合プロセス)は、実施するタイミングと目的が異なる別の工程です。両者を混同すると、必要な準備が抜け落ちる原因になります。

IT DDは投資を実行するかどうかを判断する前の段階で行い、目的は「この投資を進めてよいか」「妥当な価格はいくらか」を判断する材料を集めることにあります。対してPMIは投資実行が決まった後の工程で、目的は「両社のシステムをどう統合し実際に運用するか」という実行計画にあります。中小企業庁の中小PMIガイドラインでも、PMIの取組は経営統合・信頼関係構築・業務統合の3領域に分類され、ITシステムは業務統合の領域に位置づけられています*3

両者は無関係ではありません。IT DDで洗い出したシステム構成・契約関係・人材体制の情報は、そのままPMI段階での統合計画の土台になります。IT DDを丁寧に行っておくほど、統合方針の検討にかかる時間を短縮できる関係だといえるでしょう。

逆にIT DDを省略、あるいは簡易な確認で済ませてしまうと、PMIの段階になって初めてシステムの全容が判明し、統合計画そのものを作り直す事態にもなりかねません。投資判断前の評価と統合後の実行計画は、切り分けて捉えつつも情報を引き継ぐ関係として設計することが望ましいといえます。

まとめ:ITデューデリジェンスを実効あるものにする3つの判断軸

本稿では、ITデューデリジェンスの目的と進め方を投資判断前の視点で整理しました。要点を3つに集約すると次の通りです。第一に、IT DDは財務・法務のデューデリジェンスを補完し、IT資産・技術的負債・セキュリティ・契約・運用体制・人材という6領域のリスクを可視化する調査です。第二に、調査結果は投資可否の判断にとどまらず、価格交渉や契約条項、投資後の対応計画にまで反映してこそ実効性を持ちます。第三に、投資判断前のIT DDと投資実行後のPMIは目的の異なる別工程であり、両者を情報の引き継ぎ関係として設計することが統合の成否を左右します。

LASSICに相談するメリット

LASSICは元請としてシステムの受託開発・運用保守を担う立場から、システム構成の評価や技術的負債の洗い出しに関する相談を承っています。投資判断前の限られた期間でも、IT資産・セキュリティ・運用体制の観点から現状を整理するお手伝いが可能です。まずはお気軽にご相談ください。

よくある質問

ITデューデリジェンスはどのくらいの期間で実施するものですか。

対象企業の規模やシステムの複雑さによって必要な期間は異なるため、一律の目安を示すことは難しいのが実情です。重要システムを優先して調査範囲を絞り込めば、限られた期間でも投資判断に必要な情報は整理できます。M&Aの他のデューデリジェンスと並行して進める形が一般的です。

小規模なIT投資でもITデューデリジェンスは必要ですか。

投資規模が小さい場合は、6領域すべてを網羅的に調査するのではなく、事業への影響が大きい項目に絞った簡易版の確認でも一定の効果があります。特にライセンス契約の権利関係とセキュリティ体制は、規模にかかわらず確認しておく価値がある項目です。

技術的負債が見つかった場合、投資自体を見送るべきですか。

技術的負債の有無だけで投資の可否を決める必要はありません。改修に要する期間と費用感を見積もり、買収価格の交渉や投資後の計画に反映できるかどうかが判断の分かれ目になります。負債の規模が事業計画上の想定を大きく超える場合に、見送りの選択肢が検討対象になります。

ITデューデリジェンスと情報セキュリティ監査はどう違いますか。

情報セキュリティ監査は主に自社または既存の委託先のセキュリティ体制を継続的に点検する取り組みです。一方でITデューデリジェンスは、投資や買収を検討している対象企業について、セキュリティを含むIT全般のリスクを一時点で評価する点に違いがあります。目的が投資判断にあるかどうかが分岐点です。

社内に情シス人材が少ない場合、どこまで外部に依頼できますか。

システム構成の評価やセキュリティ診断など専門知識が必要な部分は、外部のIT専門家に依頼する進め方が現実的です。契約関係の精査や投資後の意思決定そのものは自社で担うという役割分担にすれば、判断のノウハウを社内に残しながら調査の負荷を軽減できます。

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:レコフデータ「2025年のM&A回顧(2025年1-12月の日本企業のM&A動向)」MARR Online(2026年)https://www.marr.jp/marr/marr202602/entry/66036
  2. *2 出典:経済産業省「DXレポート ~ITシステム「2025年の崖」の克服とDXの本格的な展開~」https://www.meti.go.jp/policy/it_policy/dx/20180907_02.pdf(2018年)
  3. *3 出典:中小企業庁「中小PMIガイドライン ~中小M&Aを成功に導くために~」https://www.chusho.meti.go.jp/zaimu/shoukei/download/pmi_guideline.pdf(2022年)


View