こんにちは。弁護士の浅見隆行です。
2026年4月24日、株式会社はてなが、4月20日と21日の二日間にわたって従業員のアカウントから外部口座への送金が実行され、被害対象額が最大約11億円に達したことを明らかにしました。
発覚の端緒は社内ではなく、取引先銀行からの「不審な送金が行われている」という連絡でした。社外からの通報で初めて気づく規模の流出が、社内の決裁プロセスをすり抜けて完了してしまったことになります。
「社長案件」という言葉が、決裁を止めてしまう
はてな社の2026年7月期の通期営業利益見込みは約1億3,600万円とされているため、流出額はその8倍に相当します。
同社の開示では「悪意ある第三者からの虚偽の送金指示」に従ったものとされ、複数のメディアでは、経営幹部になりすますCEO詐欺の手口と報じられています。
本件で問われるべきは、「なぜ、従業員のアカウントで11億円が動かせたのか」という組織設計の問題です。
教科書的には「職務分離と多重承認の徹底」で議論は終わりますが、現場のメンタリティを踏まえると話はもう少し厄介になります。
多くの会社では、一定金額を超える支出について「社長決裁」「役員決裁」というルートが規程上定められています。
それ自体は問題ではないのですが、しかし、運用が始まると決裁ラインが事実上「社長一人の判断」に集約されやすく、間にいる担当者が「自分は疑問を挟む立場ではない」と感じてしまう。社長の名前が出た瞬間、「確認すること自体が失礼にあたる」「急ぎなのに自分のところで止めたら怒られる」という心理が働き、規程はあっても運用上はルールが事実上停止する。
これを「社長案件フリーパス症候群」と呼んでもよい気がします。
詐欺師が突くのは、システムの脆弱性だけではなく、組織内に積み重なった「上位者には逆らえない」という空気そのものです。
同じ手口の被害は、繰り返し起きている
虚偽の送金指示による巨額被害は、決して新しい話ではありません。
| 発生時期 | 企業・拠点 | 被害額 | 手口 |
|---|---|---|---|
| 2017年 | 日本航空 | 約3億8,000万円 | 取引先になりすました偽メール |
| 2019年8月 | トヨタ紡織ヨーロッパ | 約40億円 | 第三者による虚偽の指示 |
| 2026年1月 | 萩原電気のグループ会社 | 約2億7,900万円 | 虚偽の送金指示 |
| 2026年2月 | ベルトラの子会社 | 約5,000万円 | 代表者を装った虚偽の指示 |
| 2026年4月 | 株式会社はてな | 最大約11億円 | 虚偽の送金指示(BEC指摘あり) |
業種・規模・国内外を問わず、「上位者の指示」という形を取った虚偽の依頼にどの企業も同じように弱い、という事実が見て取れます。
各社とも内部統制を整備していなかったわけではなく、整備された仕組みが現場で機能しなかった、というのが実態だと思います。
問題は制度の有無ではなく、制度が「空気」に押し流される構造にあると考えます。
「まずい」と言える担当者が、最後の砦になる
経理担当者のもとに、社長を名乗るメールやチャットが届く場面を想像してみます。
「極秘案件で外部に話せない」「先方から急かされている」「君だから頼んでいる」。
担当者は通常の決裁ルートに戻したいと思いつつ、「ここで自分が止めて、もし本物だったら」という不安に押されます。経理課長や財務部長も、社長の名前が出ている以上、簡単には「待った」をかけづらい。
担当者個人を責めるのは簡単です。ただ、組織として「社長の指示を一度疑った担当者を褒める」文化を作ったことがなければ、これは制度の問題というより、経営の問題です。
「社長から直接来た指示でも、決裁を通していなければ実行しない」というルールは、社長の権威を縛るものではなく、社長の名前を悪用された時に会社を守るためのものです。
この理解が、まず経営陣の側に必要です。
「社長の指示だから」が通用しない決裁を、自分たちで作る
特別扱いを設けない三者分離
一定金額を超える送金は、緊急か否かを問わず、申請者・承認者・実行者を厳格に分離する。
経営トップからの口頭・メール・チャットでの指示は「正規決裁を起票する理由」にすぎず、決裁プロセスを省略する根拠にはなりません。
この原則を社内規程に明記することが出発点だと思います。
社長自身からの「ルール優先宣言」
規程を整備しても、現場が「社長案件には逆らえない」と思っている限り、運用は変わりません。
社長自身が「自分の名前が出ても、決裁を通っていない指示は拒否してほしい」と繰り返し伝えることが、現場のためらいを取り除く方法だと考えます。
アウト・オブ・バンド確認の徹底(生成AI対策)
緊急時こそ、メールやチャットとは別の経路で本人に直接確認する運用を、例外なく徹底することが望ましいと思います。
社内連絡網に登録された電話番号や対面での確認を必須とし、依頼メールに記載された連絡先は決して使わない。
生成AIによる音声や映像のなりすましが現実の脅威となっている現在、声や顔の確認だけで本人と判断する従来の防衛線は、すでに崩れていると見ておくべきだと思います。
「断った担当者」を評価する仕組み
最終的な防衛線は、現場担当者の「これはおかしい」という一言です。
仮に本物の社長案件で送金が一日遅れたとしても、ルールに従って声を上げた担当者を不利益に扱わないと明言する。
人事評価や社内表彰の項目に「適切な疑義の申立て」を組み込めば、ようやく「断ること」が現場の選択肢に入ってきます。
自社事案として読み替える
はてな社のケースは規模ゆえに注目を集めましたが、本質は「権威に対して、誰も止められなかった」という、どの会社にも起こりうる問題です。
経営層に求められるのは、他人事として読むことではなく、「うちの担当者は、社長を名乗る指示を断る訓練を受けているか」「断った担当者を人事評価で報いる仕組みがあるか」という、自社の足元の点検です。
ガバナンスの強さは規程集の厚みではなく、現場が「これはおかしい」と声を上げた時、その声が組織のどこで止められるかで測られるものだと思います。
今回の事案を、自社の決裁設計と「社長案件」の運用を見直すきっかけにして欲しいです。
