内部統制は“コスト”ではない - はてな社の不正流出に学ぶ、会社を守る最低限の仕組み

先週金曜日、東証グロース上場企業である株式会社はてなより、資金の不正流出に関する発表がありました。
翌営業日（４月２７日）の株価はストップ安となり、市場からは厳しい評価が下されています。
この出来事を「上場企業の特殊な問題」として片付けてしまうのは簡単です。
しかし本質はむしろ逆で、中小企業にこそ起こり得る問題です。
本稿では、今回の事案を内部統制の観点から整理し、経営にどう活かすべきかを考えます。

1．何が起きたのか（公表事実の整理）

公表された内容から、主なポイントは以下の通りです。

• 発覚の経緯：2026年4月21日、取引銀行からの指摘により資金流出が判明
• 被害状況：特定の担当者による複数回の不正送金が確認
• 株式市場の反応：発表翌営業日に損失額だけでなく、ガバナンスへの懸念から株価が急落

ここで重要なのは、自社の内部チェックではなく、外部（銀行）からの指摘で発覚したという点です。
これは、少なくとも結果として
「内部のモニタリング機能が十分に機能していなかった可能性」
を示しています。

2．なぜストップ安まで売られたのか

今回の株価下落は、単なる損失額の問題ではありません。
投資家が見ているのは、次の3点です。

• 再発リスク：同じことがまた起きるのではないか
• 管理体制の信頼性：経営は実態を把握できているのか
• 内部統制の有効性：組織としてブレーキが機能しているのか

つまり、「お金が減った」こと以上に、
“会社として信用できるのか”が問われた結果と言えます。

3．想定される内部統制上の課題（一般論として）

個別の詳細は今後の調査を待つ必要がありますが、一般論として、不正送金が発生する典型パターンは共通しています。

• 職務分離の不備

　　　振込データの作成と承認・実行が、実質的に一人で完結できる状態

• モニタリングの形骸化

　　　残高確認や突合が形式的で、異常に気づけない

• “信頼”の過剰適用

　　　「長年任せている」「ベテランだから大丈夫」という思い込み

中小企業では特に、この3つが同時に成立しやすい構造にあります。

4．中小企業が最低限やるべき3つの対策

大企業のような高度なシステムは不要です。
しかし、以下の“物理的な仕組み”は必須です。

① 多段階承認の徹底
作成者と承認者を分離し、ネットバンキングの承認機能を必ず使う

② 決裁権限の明確化
「いくらまで誰が決裁するか」を金額基準で明文化する

③ ブラックボックス化を防ぐ“最低限の仕組み”
振込先登録と送金の担当者をそれぞれ別々にし、“ブラックボックス化”を防ぐ

ポイントは、「人を信じない」のではなく、“人に依存しない仕組みを作る”ことです。

5．内部統制の本質は「優しさ」である

現場からはよく、こんな声が上がります。
「いちいち承認は面倒だ」
「信用していないのか」
しかし今回の本質はそこではありません。

問題は、
一人の判断ミスだけで、会社の資金が動いてしまう構造
にあります。

もし承認フローがあれば、
• 自分がミスしても止めてもらえる
• 責任を一人で背負わなくて済む
という状態になります。

内部統制とは、統制や監視のための仕組みではなく、
「一人のミスを組織で吸収するための安全装置」
です。

6．最後に：明日は自社で起きるかもしれない

今回の事案は、上場企業で起きました。
しかし、構造的には中小企業のほうがむしろリスクは高いと言えます。

• 人手が少ない
• 権限が集中しやすい
• チェックが形骸化しやすい

だからこそ重要なのは、
「うちは大丈夫」ではなく「明日うちで起きる前提で考える」ことです。

内部統制はコストではありません。
会社を守るための、最も安価で確実な投資です。