今春、米国で連邦捜査局(FBI)が米Appleに対して銃乱射事件の犯人が使っていた「iPhone」のロック解除を求め、Appleはこれに応じなかったことが話題になった。捜査機関は専用の解析ツールを使っており、結果的にそのiPhoneの端末内データにアクセスできたのだが、これをきかっけにスマートフォンのセキュリティに多くの人が関心を持ったようだ。
スマホは説明するまでもなく、私たちの生活に欠かせないコミュニケーションツールとなっており、スマホ内部のメモリや、スマホから利用するクラウドにはプライベートな情報が蓄積している。これがうっかり漏洩してしまうことなど想像するだけで恐ろしいことである。
スマホは消耗品でもあり、定期的な買い替えが発生する。そのスマホを手放す際に、皆さんはどのような処置を施しているであろうか。スマホの設定メニューには工場出荷状態に初期化する機能が用意されているが、果たしてそれを実行するだけで万全なのであろうか。じつはノーである。スマホはパソコンと同様に、一見データを消去したように見えても、メモリ(パソコンでいうハードディスク)内のデータを復旧させることは不可能ではない。
では、中古市場に流通しているスマホは果たして大丈夫なのであろうか? ユーザーが手放したスマホからプライベートなデータが流出するようなことはないのだろうか。DVDレンタル国内最大手で、近年は中古スマホの買取および中古販売に力を入れているゲオホールディングス(以下、ゲオ)を取材させてもらった。
■中古端末買取時点から完全なトレーザビリティを確保
ゲオはその店舗が全国に約1,300店あり、同社系リユースショップ「セカンドストリート」を含めるとその店舗数は1,600店以上。また、モバイル専業ショップ「ゲオモバイル」もオープンさせ、全国にその店舗網を拡充中である。とくに地方に行くと市街地や郊外に大規模な店舗を展開しており、その存在感は地方ほど大きい。これらの店舗でスマホの買取や中古スマホの販売を行っている。
ゲオの最大の特徴は、これら店舗のほとんどが直営で経営されていること。このため個別の店舗で買い取られた端末は、買い取り後の整備から店頭への再配備に至るまで本社で一元的に管理されている。店頭での買い取りから、再び中古端末として店頭に配備されるまでの流れは次の通りである。
まず、ゲオの店頭での買い取りの際には、規定のマニュアルに沿った基本動作チェックや外装の傷や損傷などのチェックが行われる。買い取りが決まれば、買い取り端末には個別の管理コードが振られ、チェック内容が記載されたシートや付属品と共にその後の作業内容や流通状況が一元管理されるようになる。
店舗で買い取られた端末等一式は、そのまま販売することはせず必ずゲオの流通センターに送るルールになっている。この流通センターは現在、札幌、群馬、岩倉、福岡の4カ所に設置されており、北海道は札幌、九州は福岡、本州・四国は群馬と岩倉が管轄として買い取り商品の管理と再流通を担う。
そしてこの流通センターの中には、携帯電話やスマホの整備を行う「加工センター」が併設されており、買い取られた端末は必ず加工センターを経由することになる。この加工センターにおける最も重要な役割が、端末の「データ消去」作業である。前述のように、じつはスマホの設定メニューにある「初期化」の処理だけでは万全とは言えない。販売した中古スマホ端末から、前所有者の個人情報等が流出するような事故でも起ころうものなら、企業としての存在さえ危ぶまれない。したがって、買い取ったスマホ端末はこの加工センターで完全にデータ消去処理を施した上で、中古端末として店舗に再流通させるルールを徹底させているのである。
加工センターでの処理が済んだ端末は、再び店舗に送られ、商品として販売されて行く。この場合も、買い取った店舗に端末が戻るわけではなく、各店舗における中古端末の在庫状況や地域別の売れ行きなどを勘案し、本社からの指示によって配備先の店舗に振り分けていく。
買い取りから中古スマホとして販売されるまで、その間の処理状況も含めて端末ごと個別の管理コードで追うことができ、完全なトレーザビリティを確保している。
■データ消去処理まで気が抜けない
買い取られた携帯電話やスマホを再び中古商品として販売するための処理を行うゲオの「加工センター」、その内部を見せていただいた。訪問したのは愛知県岩倉市にある、ゲオ岩倉流通センター内にある加工センターだ。
店頭におけるスマホ買い取り時にも端末のチェックや初期化の作業は行われるが、スマホの機能としての「初期化」は万全とは言えず、買い取った企業としての責任を果たすうえでもゲオ自身での端末のデータ消去作業を行うまでは端末の管理は厳重に行われなくてはならない。その処理を行うの加工センターも当然のことながら厳重なセキュリティが掛けられている。流通センター内に一角に、入り口にセキュリティキーが設置され、入退室が規制されるエリアがあった。そこが加工センターだ。
そのなかに入ると、さっそく買い取り品が詰まったダンボールの山が目にとまる。この岩倉の加工センターは、本州の西半分と四国から端末が集められてくるので、その量は膨大だ。そのダンボールは順次、検品部門に移され、封入されていたスマホ端末を一台一台丁寧に検品していく。まずは外装検査および動作確認が行われる。そして電源を投入し規定の操作を行うことで端末の動作確認を実施していく。充電ができるかどうか、スピーカやマイク、バイブレータ、カメラなどが動作するか、液晶はきちんと表示できるかなどだ。買取時に一度店舗でもチェックをしているが、ここで再び店舗で記録されたチェックシートと突き合わせながら、再確認を行っている。この段階で異常がある端末が見つかれば、ラインから外されていく。
続いて、ネットワーク利用制限に問題が無いかのチェックである。盗品や割賦代金未払品などは通信キャリア側から利用制限が掛けられてしまうケースがある。こうした制限が掛かってないかのチェックで、これも買い取り時に店頭で1回チェックしているのだが、この加工センターで1回、さらに店頭での再販時にも1回と、ゲオでは計3回のチェックを行っているという。ネットワーク利用制限は、買い取り後に端末の登録状況が変わる場合も考えられるためだ。
検品部門の次は、いよいよデータ消去部門に移される。ここでは業務用のデータ消去ソフトウェアが備えられており、スマホをPCに接続して一気にデータ消去処理を施す。スマホの設定メニューから行う「初期化」は、本に例えると目次に相当する部分を消しただけの状態でしかない。目次が空白になるので一見はデータが無いように見えても、本体の中身(メモリ)を特殊な方法で参照していくと、まるまるデータが参照できてしまう。こうした、端末内に残ってしまっているデータをも完全に消去するために、業務用のデータ消去ソフトウェアを用いる。
データ消去ソフトウェアで世界的に大きなシェアを誇っているのがフィンランドのBlancco Oy Ltd(以下、ブランコ)である。ゲオでも数ブランドのデータ消去ソフトを備えていたが、スマホ向けにはブランコのデータ消去ソフトがメインに使われていた。このブランコのソフトウェアを使うことで、端末内のデータは二度と復元できないようになるという。プライバシーマークなどを取得している大手の買い取り店では、情報漏えい対策として必ずこうしたデータ消去ソフトウェアを使ってデータ消去処理を施したうえで再販されているので端末を手放すユーザーにとっても安心できる。しかしながら、ネットオークション等で個人売買で手放してしまったり、素性の分からない買い取り店などに買い取りを依頼する場合は不安が残るところだ。
データ消去処理後は店頭で再販しやすいように端末のアクティベートを行い、さらに端末のクリーニングも実施する。これは手作業で端末を丁寧に清掃していく。ゲオで買い取りされる端末の数については非公表とのことだったが、この岩倉加工センターに入庫してくる端末のシェアでいうと、iOSが4割、Androidが4割、携帯電話が2割ということだった。ほぼわが国の市場シェアを踏襲した感じだ。加工センターでの処理を終えた端末は、流通センターに移され、本社にある企画部門から送られてくる店舗別仕分けデータに従って行き先別に振り分けられ、各店舗に送られて行く。
では、業務用のデータ消去ソフトウェアというのはどのような方法で端末のデータを消去しているのか。世界最大シェアを誇るブランコを取材させていただく機会を得た。これは次回のコラムでレポートする。
木暮祐一