ラピットくん 
はじめに:「明日は我が身」と感じた経営者へ
2026年5月、マネーフォワード社が、GitHubへの不正アクセスを公表しました。クレジットカード保持者の名前と番号の下4桁が370件含まれた状態で、ソースコードが流出した可能性がある——。
ニュースを見て、「人を雇って、AIで開発をさせている限り、こういう事故は防ぎようがないのではないか」と感じた経営者は多いはずです。私自身、最初はそう感じました。
ただ、この事件を冷静に読むと、経営者が学ぶべきメッセージは、実はもっと別のところにあることが見えてきます。
1. この事件のセキュリティ対策は、完全に失敗した訳ではない
マネーフォワード社の公表内容を読み直すと、相反する2つの事実が並んでいます。
- 守れなかった部分:ソースコードに本番のカード情報370件と認証キーが入っていた
- 守れた部分:本番データベースには侵入されなかった。顧客の資産・認証情報は無事
「漏洩した、けしからん」だけで読むと、何も学べません。本当に注目すべきは、この2つを分けた設計判断のほうです。
別の例として、同じく4月にGitHubアカウントを侵害された別の企業(CAMPFIRE社)では、顧客情報管理システムへの不正アクセス痕跡まで確認されています。同じ「GitHubが抜かれた」起点でも、被害が顧客DBにまで届くかどうかは、その会社の設計で決まる。これが今回の事件の核心です。
2. 経営者がいま直面している「教育では防げない3つの事故」
事件の文脈として、2026年4〜5月の事例を眺めると、もはや社内研修・モラル教育では止められないタイプの事故が3つに整理できます。
① 便利そうなツールがマルウェアだった(サプライチェーン汚染)
ある米IT企業では、従業員が便利そうなAIツールをインストールした瞬間、認証情報を抜き取られました。「危ないツールを使うな」と言ってもゼロにはできません。AI開発の現場では、毎週新しいツールが出てくるからです。
② 新人がSNSに業務写真を投稿してしまう
4月だけで、テレビ番組の制作協力会社、地方銀行の職員によるSNS投稿事故が複数公表されています。
③ 内部の人間による持ち出し
損保大手3社では、出向者がトヨタ社員2万人分の情報を無断で持ち出していました。
これらは、人を雇う・外注する限り、発生確率をゼロにはできません。ここを認めるところから、経営者の仕事は始まります。
3. 経営者の仕事は「事故を防ぐ」より「事故が致命傷にならない構造を作る」
事故率をゼロにすることに時間を使うのではなく、事故が起きても会社が死なない構造を先に作る——これが今回の事件の最大の教訓です。
ここで効いてくるのが、私たちが提唱している「フォルダ経営」という考え方です。
フォルダ経営とは、「会社の情報・プロセス・権限を、誰が見ても読める形でフォルダ構造に整理する」経営手法です。これをセキュリティ観点で言い換えると、こうなります。
「機密情報はどこに置かれているか」「誰がアクセスできるか」を、経営者自身が読める状態にする。
マネーフォワード事件は、まさにこの「読める化」が部分的に成立していなかった例と読めます。本番のカード情報がソースコードに紛れ込んでいたことに、経営者も上位の管理者も事前に気づけなかった。「コードはエンジニアの領域」として、経営から見えない箱になっていた可能性があります。
4. 経営者が引くべき「4本の境界線」
会社のなかで、この境界線を超えて情報が動いていないかを、経営者自身が読める状態にする。これが今回の事件から導ける具体的な指針です。
| 境界線 | 経営者として確認すること |
|---|---|
| コード ↔ 本番データ | エンジニアの作業領域(GitHub等)に、顧客の本番データが紛れ込んでいないか |
| 個人PC ↔ 本番システム | 開発者の私物・個人端末から、本番システムに直接アクセスできないか |
| AIツール ↔ 業務認証 | 従業員が使うAIツール経由で、業務用のパスワード・認証情報が外に出ないか |
| 退職者・委託先 ↔ システム | 関係終了と同時に、すべての権限が物理的に消える仕組みになっているか |
技術的な実装はエンジニアに任せていい。でも、この4本の境界線が引かれているかどうかは、経営者が読める状態にしておくべき領域です。マネーフォワード社は4本中3本は守れていたから、致命傷を回避できました。
5. 中小企業経営者が今週・今月やること
社員5〜30人の中小企業を想定して、現実的なアクションを並べます。
今週やる(エンジニア・外注先に依頼するだけ)
- 自社のGitHubで「Secret Scanning」「Push Protection」を有効化する(無料)
- 過去のソースコードに、本番のパスワード・APIキーが紛れていないか、機械的にスキャンしてもらう(gitleaks等の無料ツールでできる)
今月やる(経営判断が必要なもの)
- 本番システムへのアクセス権を持つ人の一覧を、経営者が見られる状態にする
- AIツール(ChatGPT、Claude、Notion AI等)に渡している権限・情報の棚卸し
- 退職・委託契約終了時に「すべての権限が自動で消える」運用になっているか確認
継続的にやる
- 月に1回、「誰が/どこに/どんな情報を置いているか」を経営者自身が点検する時間を取る
6. AI時代の経営者の仕事は「人もAIも信用しない構造を作る」こと
最後に、AI開発を進めている経営者にとって、いちばん大事な視点を一つ。
これまで経営者は「人を信用するか/教育で守るか」を考えてきました。でも、サプライチェーン汚染やAIエージェントが当たり前の時代では、それでは足りません。
人もAIも信用しない構造を、経営者自身が読める状態で作る。
これが、AI時代の経営者の仕事の中身になっていきます。
マネーフォワード社の事件は、規模の大きな企業でも事故が起こりうることを示しました。同時に、「致命傷を防ぐ設計」は規模に関係なく、むしろ中小企業のほうが実装しやすいことも示しています。社員数が少なく、構造がシンプルなうちに、フォルダ経営的なセキュリティの境界線を引いておく——いまが、その絶好のタイミングです。
明日は我が身、ではなく、今日から準備できる。それが、マネーフォワード事件が経営者に投げかけた問いだと、私は思います。
