とある保険会社さんから、IT保険の商品説明を聞いてきた。
昔のIT保険っていうと、「どういう体制でやってるから、このぐらいのリスクがある。なので保険料いくら」っていうアセスメントを行ってから加入できるって形だったらしく、これを利用して

• 保険加入資格に満たしていないなら、満たすまで対策を講じる
• 対策を講じるときりがないから、一定の基準まで対策を講じ、それ以上は保険を使うことでカバー。
• 非常に高い対策を講じているという第3者による評価になる

になるって思ってた。

でも、今はまったくの逆

• 15問ぐらいの事前質問シートで保険料を決定。細かいアセスメントは一切なし。

っていう形式で、事故は起こって当たり前って考え方にして、ほとんど保険加入資格なんて誰でもあるような感じにし。

個人情報漏洩保険なんて、まさに普段から対策を講じ辛い中小企業は飛びつきたいもんなぁ。主要マーケットはまさにに中小企業。
確かに、「いくら対策をしても、結局は事故は起こる。しかも、いつどうやって起こるかわからない」ってなったら、予防に金はかけられないけど、起こった後の対応を考えたほうが得策とも言える。
その上、「ドキュメントを用意し、体制をこうしているから事故が起こる確率が低いです。」とは言っても、ドキュメント見てないこともよくありがちなケースだし、体制も体裁だけ整えただけで、現実は違う体制だったりすることも現実としてはありがち。となると、「常に体制を維持しているか？」という監査をずっとしてなきゃいけないし、保険会社にかかる負担が高いから、路線を変えるのも一理ある。

リスクのあるところに損害保険はあるけど、マーケットをよく捉えてるよ。
改めてビジネスとは何ぞや？と考えされられてしまった。