株式会社はてなの不正送金事件を分析し、外部からの不正アクセスではなく、従業員による内部不正が原因であることを明らかにしました。IT企業の内部統制の甘さと、危機発生時のコミュニケーション戦略の重要性を解説します。
株式会社 はてな の 不正送金 事件に関する詳細が明らかになりつつあります。 同社は適時開示において、従業員のアカウントから銀行預金口座への送金が実行されたことを報告しました。
これは、外部からのシステムへの不正侵入によるものではなく、悪意のある第三者からの虚偽の送金指示を受けた従業員が、自身の判断で送金操作を行ったことが判明しています。 IT企業は一般的に、Webサービスの脆弱性やサーバへの不正アクセスに対して高度なセキュリティ対策を講じていますが、今回の事件は「お金を動かすプロセス」における内部統制の甘さが露呈したものです。 エンジニアリング部門では「バグを許さない」厳格な品質管理が行われている一方で、バックオフィスのワークフローには同様の厳しさが及んでいないケースが多く見られます。
デジタルサービスを中核事業とする企業が、内部統制において意外なほど古典的な弱点を抱えているという事態です。 今回の被害は、このギャップが原因であると考えられます。 危機管理広報の専門家として、IT企業から「当社はIT企業なので、コミュニケーション戦略は関係ない」という意見を聞くことがあります。 これは、広報担当者がいない、あるいは人員が不足しているIT企業に多く見られる反応です。
コミュニケーション戦略とは、メディア向けのプレスリリースや記者会見での対応だけを指すものではありません。 あらゆるリスクが表面化した際、企業は必ず「誰かに何かを伝える」という状況に直面します。 その際、誰に、何を、どのような順番で、どのような言葉で伝えるかが、コミュニケーション戦略の本質です。 今回の株式会社はてなのケースでは、株主・投資家、取引先、従業員、金融機関、捜査機関など、複数の関係者に対して、適切なタイミングで適切な情報を提供する必要があります。
同社の適時開示は、発生から3日後の4月24日というタイミング、個人情報漏えいの有無の明示、運転資金の流動性への言及など、一定の配慮が見られますが、株価はストップ安となりました。 これは、情報開示の内容だけでなく、「この会社は今後どうなるのか」「経営への影響はどの程度か」という市場の問いに対する十分な答えが得られなかったためと考えられます。 例えば、送金フローの内部統制を整備する際には、「どのようなケースで、誰が、誰に報告するか」を定めることが、実はコミュニケーション設計そのものなのです。
一定金額以上の送金が発生した場合、財務責任者だけでなく代表取締役にも即時通知が届く仕組みを構築することは、単なるセキュリティ強化ではなく、組織として異常を検知し共有するためのコミュニケーション設計と言えるでしょう。 万が一、被害が発生した場合の対応フローも同様です。 対策本部の責任者、外部専門家への連絡タイミング、取引銀行への連絡担当者、捜査機関への相談と並行して開示を行うタイミングなどを事前に決めておくことが、初動の速さと対外メッセージの整合性を大きく左右します。
株式会社はてなは、代表取締役を中心とする対策本部の設置、外部専門家による事実関係の調査、捜査機関への全面協力という対応を取りましたが、これらの対応が「あらかじめ決まっていた対応フローに従ったのか」「その場その場で判断したのか」によって、組織としての負荷は大きく異なります。 ビジネスメール詐欺は、特別なシステムの脆弱性を突くものではなく、人間の判断の隙を突くものです。
「急いでほしい」「この件は内密に」「いつもの手順を今回は省いて」といった言葉で、普段は慎重な担当者も動いてしまうことがあります。 IT企業のエンジニアが「ゼロトラスト」(何も信じない)の精神でシステムを設計するように、バックオフィスの業務フローにも「指示の真偽を確認する仕組み」を埋め込む必要があります。 内部統制と、組織内のオープンなコミュニケーションは、表裏一体であると言えるでしょう。
今回の事件は、IT企業においても、技術的なセキュリティ対策だけでなく、人的な側面からの内部統制の強化と、効果的なコミュニケーション戦略の構築が不可欠であることを改めて示唆しています
はてな 不正送金 内部統制 コミュニケーション戦略 危機管理