また、USBメモリーやSDカードなどの「外部ストレージ」は、他人とデータをやりとりする関係上、暗号化しない場合がほとんどだ。前出のように、データを消しても「本当は消えていない」場合があるので、知らず知らずのうちにそこからデータが流出する可能性はある。スマホの中に入れっぱなしで処分してしまうこともあるようだが、この場合、初期化を忘れていることもある。USBメモリーやSDカードは、自ら破壊するなどの処分を考えた方がいいかもしれない。

 このように、データの完全消去は意外と面倒くさい。暗号化まで想定して処理できる人は少ないだろう。企業は、より大変だ。多数の機器をちゃんと管理し、確実な消去を確認するのは難しい。そのため結局は、業者に依頼するのが楽だ、という結論になる。

 パソコンやスマホなどの場合、中古買い取り事業者の中には、データの初期化を販売時の条件としているところがある。中古として処分するなら、そうした条件を明示しているところを利用すべきである。オークションサイトなどを使って個人流通すると、どうしても来歴が見えづらくなり、管理状況もわからない。自分がデータ消去の管理をパーフェクトに行える、という自信がないのであれば、オークションサイトなどでの処分はお勧めしない。

 業者の側としても、再利用か廃棄かは難しい選択だ。ノートパソコンやスマホは商品価値が高いので再利用したくなるが、ハードディスクそのものについては、安全に再初期化して再販すると手間もかかる。また処分する側も、安全な再利用について100%の信頼を持ち得ない。

 そうすると結局は、ハードディスクを再利用せず、確実に「破壊」する事業者が望ましい、ということになる。穴を開けたり、きわめて強力な磁気をかけたりする専用の機器を使い、破壊してしまう例が多い。こうするのがある意味、一番安心だ。機密度の高い情報を扱ったパソコンやスマホ、サーバーの場合、万が一の事態を考え、物理破壊するのが最終的には確実な処理手段といえる。

 問題は、こうした処理が「ちゃんと行われているか」という監査である。今回、神奈川県で起きた事例は、処理を委託した富士通リースと、そこからさらに委託を受けたブロードリンクがどう処理をしたのか、監査が行われていなかったことに問題の根幹がある。廃棄に伴う監査・セキュリティーのガイドラインの確認が必要だ。(文/ジャーナリスト・西田宗千佳)

AERA 2019年12月30日号-2020年1月6日合併号より抜粋