先週金曜日、東証グロース上場企業である株式会社はてなより、資金の不正流出に関する発表がありました。
翌営業日（４月２７日）の株価はストップ安となり、市場からは厳しい評価が下されています。
この出来事を「上場企業の特殊な問題」として片付けてしまうのは簡単です。
しかし本質はむしろ逆で、中小企業にこそ起こり得る問題です。
本稿では、今回の事案を内部統制の観点から整理し、経営にどう活かすべきかを考えます。

1．何が起きたのか（公表事実の整理）

公表された内容から、主なポイントは以下の通りです。

• 発覚の経緯：2026年4月21日、取引銀行からの指摘により資金流出が判明
• 被害状況：特定の担当者による複数回の不正送金が確認
• 株式市場の反応：発表翌営業日に損失額だけでなく、ガバナンスへの懸念から株価が急落

ここで重要なのは、自社の内部チェックではなく、外部（銀行）からの指摘で発覚したという点です。
これは、少なくとも結果として
「内部のモニタリング機能が十分に機能していなかった可能性」
を示しています。

2．なぜストップ安まで売られたのか

今回の株価下落は、単なる損失額の問題ではありません。
投資家が見ているのは、次の3点です。

• 再発リスク：同じことがまた起きるのではないか
• 管理体制の信頼性：経営は実態を把握できているのか
• 内部統制の有効性：組織としてブレーキが機能しているのか

つまり、「お金が減った」こと以上に、
“会社として信用できるのか”が問われた結果と言えます。

3．想定される内部統制上の課題（一般論として）

個別の詳細は今後の調査を待つ必要がありますが、一般論として、不正送金が発生する典型パターンは共通しています。

• 職務分離の不備

　　　振込データの作成と承認・実行が、実質的に一人で完結できる状態

• モニタリングの形骸化

　　　残高確認や突合が形式的で、異常に気づけない

• “信頼”の過剰適用

　　　「長年任せている」「ベテランだから大丈夫」という思い込み

中小企業では特に、この3つが同時に成立しやすい構造にあります。

4．中小企業が最低限やるべき3つの対策

大企業のような高度なシステムは不要です。
しかし、以下の“物理的な仕組み”は必須です。

① 多段階承認の徹底
作成者と承認者を分離し、ネットバンキングの承認機能を必ず使う

② 決裁権限の明確化
「いくらまで誰が決裁するか」を金額基準で明文化する

③ ブラックボックス化を防ぐ“最低限の仕組み”
振込先登録と送金の担当者をそれぞれ別々にし、“ブラックボックス化”を防ぐ

ポイントは、「人を信じない」のではなく、“人に依存しない仕組みを作る”ことです。

5．内部統制の本質は「優しさ」である

現場からはよく、こんな声が上がります。
「いちいち承認は面倒だ」
「信用していないのか」
しかし今回の本質はそこではありません。

問題は、
一人の判断ミスだけで、会社の資金が動いてしまう構造
にあります。

もし承認フローがあれば、
• 自分がミスしても止めてもらえる
• 責任を一人で背負わなくて済む
という状態になります。

内部統制とは、統制や監視のための仕組みではなく、
「一人のミスを組織で吸収するための安全装置」
です。

6．最後に：明日は自社で起きるかもしれない

今回の事案は、上場企業で起きました。
しかし、構造的には中小企業のほうがむしろリスクは高いと言えます。

• 人手が少ない
• 権限が集中しやすい
• チェックが形骸化しやすい

だからこそ重要なのは、
「うちは大丈夫」ではなく「明日うちで起きる前提で考える」ことです。

内部統制はコストではありません。
会社を守るための、最も安価で確実な投資です。

1．組織を蝕む「トップ依存」と「職務分離の欠如」

ニデック（旧日本電産）が公表した内部統制改善計画を見ると、
創業者の意向が過度に優先される企業風土
が、組織本来のチェック機能を弱めていたことが指摘されています。

特に海外子会社では、
　• 権限と責任が一人に集中していた
　• 牽制機能が十分に働かなかった
といった、典型的な「職務分離の欠如」が背景にあったと考えられます。
内部統制は制度の問題であると同時に、
人と組織の力学が大きく影響する
ことを示す事例です。

2．理想は「4つの目の原則」、現実は「社長の目」

私自身の経験でも、重要な業務は必ず複数人で確認する
「4つの目の原則」
を徹底していました。

しかし、中小企業では人員が限られ、教科書通りの職務分離を実現するのは簡単ではありません。
とはいえ、小規模企業では不正やミスが即座に資金繰りへ影響し、最終的には必ず経営者の知るところとなります。
であれば、後から知るのではなく、
最初から「社長が見える仕組み」をつくる
ほうが合理的です。

3．明日からできる「最も簡単なデジタル統制」

高額なシステムは必要ありません。
PDFと電子メールだけで、十分に統制は機能します。
　• 申請：担当者が請求書PDFに電子印を押し、社長へメール送信
　• 承認：社長が内容を確認し、承認印をPDFに上書きして返信

これだけで、
　• いつ
　• 誰が
　• 何を確認したか
という証跡が、メールログとPDFの更新履歴として自然に残ります。
仕組みがあることで、意図せず不正に巻き込まれることへの心理的ブレーキも働きます。

4．最後に：数字を「良く見せる誘惑」とどう向き合うか

ニデック、オルツ、グレーステクノロジー社などの事例に共通するのは、
「現実より良く見せたい」という経営上の誘惑 です。
しかし、経理上の不正は遅かれ早かれ必ず発覚します。
政府が進める「100億宣言」などの成長支援策も、内部統制が伴わなければ、むしろリスクを高めかねません。
大切なのは、
メール1本から始める「正直な経営」を仕組みとして残すこと。
それこそが、マーケットや取引先からの信頼を守る、最も確実な方法ではないでしょうか。

第2回：あなたの会社を守る「不正競争防止法」と今日からできる情報管理術

前回は、情報セキュリティが中小企業にとっての「攻め」の経営戦略であり、情報漏洩がいかに大きなリスクをもたらすか、そして身近な農業分野での事例を交えて「情報流出」が決して他人事ではないことをお伝えしました。
今回は、大切な情報を守るための法律、そして具体的な情報管理のステップについて掘り下げていきましょう。

情報セキュリティと法律の関係：不正競争防止法をご存知ですか？

大切な情報、特に「営業秘密」を守るためには、法律の知識も不可欠です。
ここでは「不正競争防止法」に注目してみましょう。
不正競争防止法で営業秘密として保護されるためには、以下の3つの原則を満たす必要があります。

　1. 秘密管理性: 秘密として管理されていること。
　2. 有用性: 事業活動に有用な情報であること。
　3. 非公知性: 公然と知られていない情報であること。

これらの原則を満たしていれば、万が一情報が漏洩した場合でも、法的な保護を受けやすくなります。
しかし、情報漏洩時に秘密保持性が認められず、法律の適用を受けられなかった事例も存在します。

【秘密管理性が否定された事例】
ピアノ調律サービス業の場合、地方裁判所は「厳格な方法による秘密管理措置まで要求することは現実的ではないとしても、業務において本件顧客情報に接することができる者は、パソコンのデータにアクセスする権限を有する正社員二、三名及び調律師３名と比較的少数にとどまるのであるから、これらの者に対しては、本件顧客情報に係る原告の秘密管理意思が容易にわかるような措置を採る必要があるというべき」とした上で、「調律師らに対し、本件各書類を配布した後、それを回収したり、廃棄を指示したりすることはなく、本件各書類には『マル秘』などの秘密であることを示すような記載もなかった」こと等を理由に、秘密管理性を否定しました。

【秘密管理性が肯定された事例】
一方、きちんとした管理をしていたために顧客情報が秘密管理性を認められたケースもあります。
投資ファンドを営む業者の事例です。
裁判所は「本件顧客情報管理システムで管理された情報にアクセスすることができる従業員は社内の利用規程等により一定の範囲に限定され、また、原告の就業規則等においても原告の顧客情報の第三者への漏えいや開示が禁止されていた」こと等を理由に、秘密管理性を肯定しました。

このように同じような情報であっても、内部管理の違いによって法律の適用を受けるか、受けられないかに違いが生じるのです。

情報セキュリティ導入のステップは次のとおり

まずは「情報の選別」から始めましょう！
情報セキュリティ対策の第一歩は、自社が保有する情報を「選別」することです。
全ての情報を同じように扱うのではなく、その重要度に応じて分類することで、効率的かつ効果的な対策が可能になります。
情報はその性質によって、大きく以下の3種類に分けるのがいいでしょう。
　• 公開情報: 社外からでも自由に閲覧できる情報です。プレスリリースがこれに該当します。
　• 社内情報: 社員であれば閲覧できる情報ですが、社外への開示は控えるべき情報です。例えば「就業規則」がこれに当たります。
　• 秘密情報: 従業員であっても、関係者以外は閲覧できない情報です。製造会社の場合、製造マニュアルが該当する可能性が高いです。

これらの区分を行う際の基準は、「その情報を知らないと、当該本人が仕事を遂行できないか」という視点です。
この選別がしっかりできていれば、万が一情報漏洩が起こってしまった際にも、秘密保持性の点から法的に有効な主張ができる可能性が高まります。

また選別が終わったら、これらの分類をラベリングしましょう。
紙の書類の場合、ファイルの背表紙に「公開情報」、「秘密情報」等を貼り付けてもいいですし、電子データの場合、エクセルやワードのヘッダーあるいはフッターに分類情報を追加することも有効です。

次は「情報の保管」を見直しましょう。

情報の選別が終わったら、次は「保管方法」です。適切なアクセス制限を設けることが非常に重要になります。
　• 紙の情報: 鍵がかかるキャビネットに保管し、その鍵は特定の責任者が管理するようにしましょう。
　• 電子データ: フォルダごとにアクセス権限を付与し、必要な従業員のみがアクセスできるように設定しましょう。

「PDCAを回す」ようにしましょう。

実は「情報セキュリティ」は導入よりも維持の方が難しいです。
年に一回、自社が保有する情報を洗い出し、適切な分類やラベリングがされているか、確認することが必要です。
また組織や人事の異動があった際にも見直すことが必要です。
異動前のアクセス権が残っていないか確認して正しい状態を確認することが肝要です。
ですから最初は狭い範囲からでも結構です。
また分類やラベリングが間違っていても怒らないで説明をすることが必要です。この「情報セキュリティ」というのは非常に息の長い作業なのです。

まとめ

情報セキュリティは、もはや「もしもの時の保険」ではありません。
自社の「情報」という「武器」を守り、最大限に活用することで、差別化を継続し、持続的な成長を実現するための「攻め」の経営戦略なのです。