――内部統制の隙を突く「虚偽の送金指示」への防跡

近年、企業のグローバル展開に伴い、海外子会社を標的とした不正送金被害が後を絶ちません。直近でも、東証プライム上場企業の海外拠点で約2.8億円（約188万米ドル）規模の資金流出事案が発生しました。

本稿では、公認不正検査士（CFE）の視点から、この「虚偽の送金指示」の手口と、組織が講じるべき防衛策について考察します。

1. 事案の背景と「BEC」の巧妙化

今回の事案は、悪意ある第三者が役員や取引先になりすまして送金を指示する「ビジネスメール詐欺（Business Email Compromise: BEC）」の典型例と言えます。

詐欺グループは、数ヶ月にわたってターゲットの組織を観察し、**「決算直前の慌ただしい時期」「現地法人の決済権限の所在」「送金担当者の心理的脆弱性」**を正確に突いてきます。特にアジア圏の拠点は、言語の壁や本社との物理的距離から、確認作業が疎かになりやすい傾向にあります。

2. なぜ「2.8億円」は流出してしまったのか

不正検査の観点からは、以下の「不正のトライアングル」が揃っていた可能性が考えられます。

機会: 現地拠点において、一人の担当者や責任者の判断で多額の海外送金が可能な「統制上の欠陥」があった。

動機（正当化）: 「本社役員からの極秘・至急の指示である」というプレッシャーによる確認プロセスの形骸化。

正当化: 「指示に従わないことによる事業への悪影響を避けなければならない」という強い心理的強制。

3. CFEが提言する「実効性ある防衛策」

システム的なセキュリティ対策に加え、以下の**「運用の統制」**を組み込むことが不可欠です。

「二経路照合（Out-of-Band Verification）」の義務化 送金指示がメールで届いた場合、必ず「メール以外の手段（あらかじめ登録された電話番号、公式の社内チャット等）」で本人に確認を行うルールを徹底します。

送金先情報の変更に対する「厳格な承認」 振込先口座の変更指示があった際は、通常の送金承認よりも高いレベルの承認、あるいは取引先に対する書面での再確認を必須とします。

「不審な指示」に対するエスカレーションパスの構築 「至急」「極秘」といった文言を含む指示に違和感を覚えた際、現地の判断だけで進めず、本社のコンプライアンス部門や財務部門へ直接相談できるホットラインを整備します。

結びに代えて

資金流出後の回収は極めて困難であり、多くの事案で損失の全額計上を余儀なくされます。私たちCFEの使命は、事後の調査に留まらず、こうした「不正の機会」を未然に摘み取るガバナンス構築を支援することにあります。

海外拠点の内部統制を「形式」から「実効性」のあるものへアップデートすること。それが、進化し続けるデジタル詐欺から組織を守る唯一の道です。