「買収を決めた後で、相手のシステムが『1人の社員しか分からない手作りの仕組み』だったと判明する」――M&Aの現場では、こうした事態が珍しくありません。 財務や法務のデューデリジェンス(買収前の調査、以下DD)はしっかり行われるのに、ITのDDは後回しにされ、買収後の統合段階で初めて深刻な問題が表面化するケースが後を絶たないのです。
中堅企業のM&Aは、事業承継の手段としても大きく増えています。中小企業庁は2024年8月に「中小M&Aガイドライン(第3版)」を公表し、DDを含むプロセスの透明化を進めています(中小企業庁: 中小M&Aガイドライン)。一方で、買収対象となる中堅企業の業務システムは、専門のエンジニアがいないまま、AIコーディング支援ツールや一部の社員の手で内製された「バイブコーディング」の産物であることが増えています。そうしたシステムは、IT DDを入れた瞬間に、属人化・法令違反・セキュリティの穴といった問題が一気に表面化します。
連載「バイブコーディング危機」は、ここまでの第1〜27回で、AIに自社システムを書かせた結果として起こりうるリスクと、その防衛策・再設計を整理してきました。第28回となる本記事では、M&Aという出口の場面に焦点を当てます。具体的には、IT DDで確認すべき12項目、バイブコーディング起因で見つかるリスク5件、企業価値への影響と統合コストの考え方、売り手・買い手それぞれの備えを、中小企業庁「中小M&Aガイドライン」・PwC・Gartner・経済産業省DXレポートを一次ソースに整理します。
目次
なぜIT DDが見落とされ、後で爆発するのか
M&Aのデューデリジェンスは、伝統的に財務・税務・法務が中心でした。これらは数字や契約書という「見えるもの」を対象にするため、調査の手順が確立しています。一方、ITは専門性が高く、外から状態が見えにくいため、簡易な確認で済まされがちです。
「見えるもの」だけ調べた結果
PwC は、技術面のデューデリジェンスが M&A の成否を左右する隠れた決定要因であり、これを見落とすと統合の遅延・コスト増・サービス停止といった重大なリスクにつながると指摘しています(PwC: Technology M&A / IT due diligence)。財務・法務のDDだけでは、技術が抱えるリスクは十分に表面化しません。
中堅企業のシステムに特有の事情
買収対象となる中堅企業のシステムには、次のような事情が重なりがちです。
-
専門のエンジニアがいない:業務に詳しい社員が片手間で作ったか、AIコーディング支援で内製したケースが多く、設計の文書がほとんど残っていません。
-
「動いているから問題ない」という思い込み:日々の業務が回っているため、内部の脆弱さに誰も気づいていません。
-
属人化:作った1人だけが全体を理解しており、その人が辞めると誰も触れなくなります(連載第8回で扱った属人化リスクそのものです)。
表面化は「買収後」に集中する
これらの問題は、買収前の限られた時間と情報のなかでは見えにくく、統合(PMI)の段階で初めて表面化することが多くあります。データを移そうとして整合性の問題が発覚する、システムを引き継ごうとして「分かる人がいない」と判明する、といった具合です。だからこそ、買収を決める前に、構造化されたIT DDを入れることが重要になります。
要点:IT DDは「相手を疑う」ためではなく、買収後に発生するコストとリスクを、買う前に金額として見積もるための作業です。見積もれれば、価格交渉や統合計画に反映できます。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
IT DDで確認すべき12項目
Gartner は、IT M&A のデューデリジェンス・チェックリストを、潜在的な問題・リスク・統合上の課題を洗い出すための出発点として提供しています(Gartner: IT M&A Due Diligence Checklist)。これらの枠組みと、中堅企業の実情を踏まえ、確認すべき項目を12にまとめます。
1. システムの全体像と内製・外注の区分
何のシステムが、どこで動いていて、どれが内製で、どれが外注かを把握します。バイブコーディングで作った内製部分の有無と範囲が、ここで最初に見えてきます。
2. 属人化の度合い(誰が理解しているか)
各システムを理解し、保守できる人が何人いるかを確認します。「1人だけ」「すでに退職している」といった状態は、買収後の運用継続に直結する重大なリスクです。
3. 設計・運用ドキュメントの有無
設計図・データ構造・運用手順の文書が残っているかを確認します。文書がなければ、引き継ぎと改修に多大な時間とコストがかかります。
4. ソースコードと知的財産の権利関係
ソースコードが社内に存在し、その権利が会社に帰属しているかを確認します。外注先や個人に権利が残っている、あるいは使っているソフトウェアのライセンス条件に問題がある場合、買収後にトラブルになります(連載第16回で扱ったOSSライセンスのリスクと重なります)。
5. セキュリティの状態
既知の脆弱性、認証の仕組み(多要素認証の有無)、アクセス権限の管理状態を確認します。連載第10回で扱ったMFA未設定や、第3回の認可漏れが、ここで発見されがちです。
6. 個人情報・データの取り扱い
どのような個人情報・機密データを、どこに、どう保管しているかを確認します。同意の取得や保管期間など、個人情報保護法への対応状況も含みます。
7. 法令・規制への対応
電子帳簿保存法・特定商取引法・業界規制への対応状況を確認します(連載第7回で扱った領域です)。違反が見つかれば、買収後に是正コストや行政対応が発生します。
8. バックアップと事業継続(BCP)
バックアップが実際に取れているか、そこから復旧できるかを確認します。連載第9回で扱ったとおり、「バックアップしているつもりで実は動いていない」ケースは少なくありません。
9. インフラと契約の状態
サーバー・クラウド・ライセンスの契約内容、費用、契約期間、担当ベンダーを確認します。買収後に契約の引き継ぎや見直しが必要になる範囲を把握します。
10. システムの性能とスケール耐性
統合によって利用者やデータが増えたときに、システムが耐えられるかを確認します(連載第27回で扱ったスケールのテーマと重なります)。
11. 外部サービス・APIへの依存
決済・地図・通知など、外部サービスへの依存と、その契約・コストを確認します。買収後に依存先を変更・統合する必要があるかを見極めます。
12. 統合の難易度とコストの見積もり
上記を踏まえ、買収後にシステムを統合・移行・改修するための難易度とコストを概算します。これが、価格交渉とPMI計画の基礎になります。
| カテゴリ | 主な確認項目 |
|---|---|
| 構造・権利 | 全体像、内製・外注区分、コード権利、ライセンス |
| 人・運用 | 属人化、ドキュメント、運用体制 |
| 安全・法令 | セキュリティ、個人情報、法令対応、バックアップ |
| 拡張・統合 | 性能・スケール、外部依存、契約、統合コスト |
バイブコーディング起因で見つかるリスク5件
IT DDのなかで、とくにバイブコーディングで作られたシステムに特有のリスクとして、高い頻度で見つかるものを5件挙げます。
1. 「分かる人が1人」の属人化システム
設計の文書がなく、作った1人だけが全体を理解している状態です。その人が買収を機に退職すると、システムが事実上のブラックボックスになります。買収後の運用継続に直結する、最も深刻なリスクの1つです。
2. セキュリティの穴
入力値の検証漏れ、認可の不備、多要素認証の未設定など、専門家のレビューを経ていないコードに典型的な脆弱性です。本連載の第2回・第3回・第10回で扱った問題が、DDの場でまとめて発見されます。
3. 法令違反の温床
電子帳簿保存法の保存要件を満たしていない、特定商取引法の表示が不足している、個人情報の取り扱いが不適切、といった違反です。買収後に是正コストや、場合によっては行政対応が発生します。
4. バックアップと復旧の不全
バックアップを取っている「つもり」で実際には動いていない、あるいは復旧したことが一度もない、という状態です。買収後にデータ消失が起きたとき、復旧できないリスクを抱えます。
5. スケールに耐えられない設計
統合によって利用者やデータが増えたときに耐えられない設計です。買収のシナジーとして「規模拡大」を見込んでいた場合、システムがその足かせになります。
注意:これらのリスクは、単独でも問題ですが、複合すると統合コストを大きく押し上げます。「属人化したシステムに、法令違反とセキュリティの穴があり、しかも文書がない」という状態は、買収後にゼロから作り直すのと変わらないコストがかかることもあります。
企業価値への影響:価値減損とバーゲン購入
IT DDで見つかった問題は、企業価値の評価に反映されるべきものです。
価値減損(ディスカウント)
属人化・法令違反・セキュリティの穴・スケール耐性の欠如といった問題は、買収後に是正・作り替えのコストがかかるため、その分だけ買収価格を引き下げる根拠になります。Gartner は、データ品質の低さが組織に年間平均で数百万ドル規模のコストを生み、M&Aの統合ではその問題が複合して拡大すると指摘しています(Gartner: IT M&A Due Diligence Checklist)。IT DDで見えたリスクを金額に換算し、価格に反映させることが、買い手の合理的な行動です。
バーゲン購入の余地と落とし穴
一方で、システムに問題があること自体は、必ずしも「買ってはいけない」を意味しません。問題が明確で、是正コストが見積もれて、それでも事業価値が上回るなら、割安に取得する好機にもなり得ます。重要なのは、見積もれない不確実なリスクを抱えたまま買わないことです。見えないリスクは、見えるコストよりも危険です。
「見えないもの」を価格に織り込めるか
PwC の調査でも、技術面の包括的なDDを実施した企業は、統合段階での技術関連の重大な問題に直面する可能性が大きく下がると報告されています(PwC: Acquisitions and Integrations / Due Diligence)。IT DDの価値は、リスクを「見える化して価格と計画に織り込む」点にあります。
統合コストの考え方とPMI
買収が成立した後の統合プロセスを PMI(Post-Merger Integration)と呼びます。IT面のPMIは、しばしば想定以上のコストと期間を要します。
統合コストに含まれるもの
-
是正コスト:DDで見つかった法令違反・セキュリティの穴を直す費用
-
移行コスト:データやシステムを、買い手の環境へ移す費用
-
作り替えコスト:属人化・スケール不全のシステムを、保守可能な形に再設計する費用(連載第27回のテーマと直結します)
-
人の引き継ぎコスト:「分かる人」からの引き継ぎ、または不在の場合の体制づくり
18ヶ月を見込んだ段階的な統合
IT面のPMIは、一度にすべてを統合しようとすると、業務が混乱します。まず現状を維持しながら(並行運用)、優先度の高い領域から段階的に統合するのが定石です。中堅企業同士のM&Aでは、おおよそ12〜18ヶ月を見込んだ計画が現実的です。
SLA(サービス品質の取り決め)の整備
統合期間中は、旧システムと新システムが併存します。どちらが、どこまでの品質(稼働率・応答速度)を保証するのかを、SLA(サービスレベル合意)として明確にしておくと、責任の所在が曖昧になりません。
PMI計画の優先順位
| 優先度 | やること | 理由 |
|---|---|---|
| 最優先 | 法令違反・重大な脆弱性の是正 | 放置すると行政対応・情報漏えいのリスク |
| 高 | 属人化の解消(文書化・引き継ぎ) | 「分かる人」喪失への備え |
| 高 | バックアップ・復旧の確立 | データ消失への備え |
| 中 | データ・システムの段階的統合 | シナジー実現の本体 |
| 中 | 性能・スケールの再設計 | 規模拡大シナジーの土台 |
中小M&Aガイドラインが求めるDDの位置づけ
中小企業庁は2024年8月に「中小M&Aガイドライン(第3版)」を公表しました(経済産業省: 中小M&Aガイドラインを改訂しました)。これは、中堅・中小企業のM&Aを、より透明で安心できる環境にすることを目的としたものです。
DDを含むプロセスの透明化
第3版では、中小企業がM&Aの仲介者やFA(フィナンシャル・アドバイザー)を選ぶ際の考慮要素として、各プロセスで提供される業務(バリュエーション、マッチング、デューデリジェンス、クロージング、クロージング後など)を示しています。DDが、M&Aプロセスの正式な一部として位置づけられていることが分かります。
DD未実施が生むクロージング後のリスク
同ガイドラインは、M&A成立後にも、デューデリジェンスを実施しなかったことに関連するリスクが発生し得ると指摘しています。つまり、DDを省くこと自体が、買収後のトラブルの原因になり得るという整理です。IT領域も、この「実施すべきDD」の対象に含めて考えるべきです。
事業承継型M&Aでの重要性
後継者不在を背景とした事業承継型のM&Aでは、売り手が高齢の経営者で、システムの状態を経営者自身も把握していないケースがあります。この場合、IT DDは「買い手が初めて中身を確認する機会」になり、属人化やリスクが顕在化しやすくなります。
買い手・売り手それぞれの備え
買い手が準備すること
-
IT DDを正式なプロセスに組み込む:財務・法務と並んで、ITも構造化したDD項目で確認します。専門家の関与が望ましい領域です。
-
見つかったリスクを金額化する:是正・移行・作り替えのコストを概算し、価格交渉とPMI計画に反映します。
-
「分かる人」の引き継ぎ条件を交渉する:属人化したシステムの場合、キーパーソンの一定期間の残留や引き継ぎ協力を、契約条件に含めることを検討します。
売り手が準備すること
-
事前にシステムを整える:DDの前に、ドキュメントを整備し、法令違反やセキュリティの穴を是正しておくと、価値の減損を防げます。これは連載第11〜26回で扱った防衛策の実装そのものです。
-
属人化を解消しておく:「分かる人が1人」の状態を、文書化と複数人体制で解消しておくことが、評価を高めます。
-
正直に開示する:問題を隠すと、買収後に発覚して契約上の責任を問われるリスクがあります。見える化して、是正計画とともに開示する方が、長期的には有利です。
売り手・買い手の備えの対比
| 観点 | 買い手の備え | 売り手の備え |
|---|---|---|
| 属人化 | 引き継ぎ条件を契約に含める | 文書化・複数人体制で解消 |
| 法令・安全 | DDで確認し金額化 | 事前に是正しておく |
| 情報開示 | 構造化した質問で引き出す | 正直に、是正計画とともに開示 |
| 統合 | 段階的なPMI計画を立てる | 移行に協力できる体制を残す |
中堅企業が陥りやすい5つの失敗
1. 財務・法務だけDDして、ITを省く
ITは専門性が高く見えにくいため、簡易な確認で済ませがちです。その結果、買収後にコストとリスクが集中して表面化します。
2. 「動いているから問題ない」と判断する
日々の業務が回っていることと、システムが健全であることは別です。内部の属人化・脆弱性・法令違反は、表面からは見えません。
3. リスクを金額化しないまま価格を決める
問題を見つけても、是正コストを概算しなければ、価格交渉に反映できません。見えたリスクは金額に換算することが重要です。
4. PMIを一括統合で進めようとする
買収後に一度にすべてを統合すると、業務が混乱します。並行運用しながら、優先度の高い領域から段階的に進めるのが定石です。
5. 売り手が問題を隠す
問題を隠して売却すると、買収後に発覚して契約上の責任を問われるリスクがあります。事前の是正と正直な開示が、長期的には売り手にも有利です。
実務判断のポイント
この記事を読むべきなのは、経営者、情シス、業務責任者、発注担当です。単に情報を把握するだけでなく、要件定義、RFP作成、見積比較、レガシー刷新、業務システム再構築の相談に進めるべきかを判断するための材料として整理する必要があります。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。M&A IT デューデリジェンス 12項目 2026|中堅企業のバイブコーディング遺産が買収監査で見つかる瞬間に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
システム開発の成否は開発会社選びの前に、業務要件、既存データ、運用責任、段階移行をどこまで整理できるかで決まる。
GXOは見積比較だけでなく、発注前の論点整理とRFP設計が手戻りと追加費用を減らすと見る。
GXOが提供できる価値は、業務整理、要件定義、RFP、開発、保守、レガシー刷新まで接続できる。 ことです。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、要件整理から開発、保守、段階移行ロードマップへ接続。さらに、標準ヒアリングと既存診断を使い、発注前相談から開発案件へ展開。
相談につながる進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問(FAQ 10問)
Q1. IT DDは、財務・法務のDDとは別に必要でしょうか?
A. はい、別に必要です。ITは専門性が高く、財務・法務のDDでは技術が抱えるリスクが十分に表面化しません。PwCも、技術面のDDがM&Aの成否を左右する隠れた決定要因だと指摘しています。
Q2. 中堅企業の小規模なM&Aでも、IT DDは必要でしょうか?
A. 必要です。むしろ小規模な中堅企業ほど、専門のエンジニアがいないまま内製したシステムが多く、属人化やリスクが潜んでいます。規模が小さくても、確認すべき項目は変わりません。
Q3. IT DDで問題が見つかったら、買収はやめるべきでしょうか?
A. 必ずしもそうではありません。問題が明確で、是正コストが見積もれて、それでも事業価値が上回るなら、割安に取得する好機にもなります。危険なのは、見積もれない不確実なリスクを抱えたまま買うことです。
Q4. 売り手として、DDの前にやっておくべきことは何でしょうか?
A. ドキュメントの整備、法令違反やセキュリティの穴の是正、属人化の解消です。これらを事前に整えておくと、価値の減損を防ぎ、評価を高められます。
Q5. 「分かる人が1人だけ」のシステムは、どう扱えばよいでしょうか?
A. 買い手は、そのキーパーソンの一定期間の残留や引き継ぎ協力を契約条件に含めることを検討します。売り手は、事前に文書化と複数人体制で属人化を解消しておくことが望ましいです。
Q6. IT DDには、どのくらいの期間がかかるのでしょうか?
A. 対象の規模によりますが、中堅企業であれば、構造化した項目に沿って数週間程度で主要なリスクを把握できます。専門家の関与があると、効率と精度が上がります。
Q7. 統合(PMI)には、どのくらいの期間を見込むべきでしょうか?
A. 中堅企業同士のM&Aでは、ITの統合に12〜18ヶ月程度を見込むのが現実的です。一括統合を避け、並行運用しながら優先度の高い領域から段階的に進めます。
Q8. DDで法令違反が見つかった場合、誰が是正コストを負担するのでしょうか?
A. 一般的には、見つかったリスクを価格交渉に反映するか、是正を売り手の責任として契約に盛り込むかを交渉します。いずれにせよ、リスクを金額化して条件に織り込むことが重要です。
Q9. AIで作ったシステムは、特にDDで注意すべきでしょうか?
A. はい。AIコーディング支援で内製されたシステムは、専門家のレビューを経ていないことが多く、セキュリティの穴や設計の文書不足が典型的に見つかります。本連載が「バイブコーディング」と呼んできたリスクが、DDの場で表面化します。
Q10. 結局、買い手はまず何から始めればよいでしょうか?
A. ITを、財務・法務と並ぶ正式なDD項目として位置づけることです。本記事の12項目を出発点に、属人化・法令・セキュリティ・統合コストを構造的に確認し、見つかったリスクを金額化して価格と計画に反映してください。
参考一次ソース
まとめ
-
M&Aでは、財務・法務のDDはしっかり行われるのに、IT DDが後回しにされ、買収後の統合段階で問題が爆発するケースが後を絶ちません
-
買収対象の中堅企業のシステムは、専門のエンジニア不在のまま内製された「バイブコーディング」の産物であることが増えており、IT DDで属人化・法令違反・セキュリティの穴が高確率で見つかります
-
IT DDで確認すべきは、全体像・属人化・ドキュメント・コード権利・セキュリティ・個人情報・法令・バックアップ・契約・性能・外部依存・統合コストの12項目です
-
バイブコーディング起因のリスクとして、属人化・セキュリティの穴・法令違反・バックアップ不全・スケール不全の5件が典型的に発見されます
-
見つかった問題は金額化して価格と計画に反映します。問題が明確で見積もれるなら、割安取得の好機にもなり得ます。危険なのは見えないリスクを抱えたまま買うことです
-
IT面のPMI(統合)は、一括統合を避け、法令・安全の是正→属人化解消→段階的統合の順で、12〜18ヶ月を見込みます
-
中小企業庁「中小M&Aガイドライン(第3版)」はDDをプロセスの正式な一部に位置づけており、DD未実施そのものが買収後のリスクになると整理しています
-
売り手は事前の是正と正直な開示で価値の減損を防ぎ、買い手はITを正式なDD項目に組み込むことが、双方にとって合理的です
M&Aは、中堅企業にとって事業承継と成長の重要な選択肢です。「動いているシステム」を額面どおりに信じず、買う前に中身を構造的に確認する。そして売り手は、売る前に防衛策を実装しておく。これが、バイブコーディングの遺産をめぐるM&Aのトラブルを避ける、双方の備えになります。
M&AのIT デューデリジェンスを相談したい方へ
GXO の バイブコーディング監査 + M&A IT デューデリジェンス支援サービスでは、買い手・売り手の双方に向けて次のようなご相談を承っています。
-
買い手向けIT DD:本記事の12項目に沿って、対象企業のシステムの属人化・セキュリティ・法令・統合コストを構造的に診断(規模に応じて2〜4週間)
-
リスクの金額化:見つかった問題の是正・移行・作り替えコストを概算し、価格交渉とPMI計画の材料を提供
-
PMI(統合)計画の策定:並行運用を前提とした、12〜18ヶ月の段階的な統合ロードマップの立案
-
売り手向けの事前整備:DD前のドキュメント整備・法令是正・属人化解消の支援(価値減損の防止)
-
キーパーソン引き継ぎ設計:属人化したシステムの引き継ぎ条件・体制づくりの助言
関連記事
著者: GXO株式会社 初回公開: 2026 年 6 月 17 日 最終更新: 2026 年 6 月 17 日 連載: バイブコーディング危機 第 28 回(全 30 回予定 / 第 6 週・拡張と統合編)
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。







