この記事のポイント
- AIエージェントによる購買契約は米国UETA・E-SIGN法上「電子エージェント」として有効に成立するが、越権行為や誤発注の責任配分は未整理のまま
- EU製造物責任指令(PLD)の2024年改正でAIソフトウェアが「製品」に含まれ、自己学習後の欠陥にも厳格責任が適用される
- 日本を含む各法域で「AIが買った」場合の紛争処理ルールが未確立であり、EC事業者は契約条項と監査体制の見直しが急務
AIエージェントが購買するとき、法的責任は誰にあるのか
ある消費者がAIショッピングエージェントに「来週のキャンプ用品を揃えておいて」と指示したとします。エージェントはテント、寝袋、クーラーボックスを選定し、合計8万円の注文を完了しました。ところが届いたテントは4人用ではなく1人用。消費者は返品を求めますが、販売者は「注文通りに出荷した」と主張します。
では、この損失は誰が負担するのか。消費者か、AIエージェントのプロバイダーか、それとも販売者か。エージェンティックコマースが普及するにつれ、こうした法的責任の空白が顕在化しています。2026年2月、Clifford Chanceは「エージェンティックAIの責任ギャップは、既存の契約では対処できない」と指摘しました。カナダの大手法律事務所Torysも同月、企業法務が検討すべき5つの問いを公表しています。
この記事では、契約法、製造物責任法、消費者保護法の3つの軸から、AIエージェント購買の法的責任の現在地を整理します。
契約法の視点 ── 「電子エージェント」の法的地位
米国:UETAとE-SIGN法が認める「電子エージェント」
結論から言えば、AIエージェントが締結した契約は現行法上、有効です。
米国の統一電子取引法(UETA)は、「電子エージェント」による記録や署名に法的効力を認めています。UETAの序文は明確に「人間によってプログラムされ使用されるマシンの行為は、そのマシンの使用者を拘束する」と述べています。Proskauer Roseの2025年4月の分析が詳しく解説するように、UETA第14条は「個人がその電子エージェントの行為や合意の条件を認識していなくても」契約が成立すると規定しています。連邦法のE-SIGN法も同様の枠組みを提供しており、50州とコロンビア特別区のうちニューヨーク州を除くすべてがUETAを採用しています。
ただし、ここに重大な落とし穴があります。UETAもE-SIGN法も、契約の成立要件を定めているにすぎません。合意の有効性、錯誤による取消し、不当条項の抗弁といった実体法上の問題は、従来の契約法に委ねられています。つまり「AIエージェントの契約は有効に成立する」としても、「その内容が適正かどうか」は別の議論です。
越権行為のリスク
エージェンティックコマースで最も厄介な法的論点の一つが、AIエージェントの越権行為です。消費者が「1万円以内で」と指示したのにエージェントが3万円の商品を購入した場合、その契約は有効なのか。
従来の代理法では、本人が代理人に授権した範囲を超えた行為は「無権代理」として取り消せます。しかしAIエージェントは法的な「代理人」ではありません。Stanford Law School CodeXの研究が指摘するとおり、AIエージェントは従来の代理法の枠組みに収まらない存在です。電子エージェントとしての行為はユーザーに帰属する一方、代理人としての忠実義務や注意義務をAIに課すことは現行法では困難です。
この法的空白が、後述するチャージバック紛争の新たな類型を生み出しています。
EU製造物責任指令 ── AIソフトウェアへの厳格責任の拡大
2024年改正の核心:ソフトウェアは「製品」である
契約法がユーザーとプロバイダー間の責任を扱うのに対し、製造物責任法はAIソフトウェア自体の欠陥に焦点を当てます。この領域で最も重要な法的進展が、EU製造物責任指令(PLD)2024/2853の改正です。
2024年10月23日に採択され同年12月8日に施行されたこの指令は、「製品」の定義をソフトウェアに拡大しました。AIシステム、ファームウェア、アプリケーション、デジタル製造ファイルが、従来の有形製品と同じ厳格責任(無過失責任)の対象に含まれます。EU加盟国は2026年12月9日までに国内法へ置換する義務があります。
Gibson Dunnの分析によると、この改正がエージェンティックコマースに与える影響は3つの点で大きいといえます。
第一に、自己学習後の欠陥に責任が及ぶ点です。改正PLDは、製品が市場投入後にAIの学習能力によって獲得した特性に起因する欠陥についても、製造者の責任を認めています。AIショッピングエージェントが運用中の学習によって不適切な推薦パターンを獲得し、消費者に損害を与えた場合、プロバイダーは責任を問われる可能性があります。
第二に、立証責任の転換が導入された点です。AIシステムの技術的複雑性により被害者が欠陥の立証に「過度の困難」を抱える場合、裁判所は欠陥の存在と因果関係を推定できます。DLA Piperが指摘するように、この推定規定はAIプロバイダーにとって訴訟リスクを大幅に引き上げます。
第三に、情報開示義務が課される点です。被害者が「請求の蓋然性」を示した場合、製造者は関連情報の開示を義務づけられます。ブラックボックス的なAIシステムの内部動作について、プロバイダーが一定の透明性を提供しなければならない仕組みです。
AI責任指令の撤回と法的空白
一方で注目すべきは、EUが2025年2月にAI責任指令(AILD)を正式に撤回した事実です。Norton Rose Fulbrightによれば、過失ベースの責任に関する立法合意に至らなかったことが理由です。この撤回により、PLDの厳格責任と各国の一般不法行為法の間に、AIの過失責任を扱う統一的な枠組みが存在しない状態が続いています。
| 論点 | 責任の所在(現行法) | 未解決の課題 |
|---|---|---|
| 契約の成立 | ユーザー(UETA/E-SIGN) | エージェントの越権行為の取消し可否 |
| 誤発注・意図しない購入 | ユーザーが原則負担 | 錯誤・不当条項の抗弁適用範囲 |
| AIの欠陥による損害 | AIプロバイダー(EU PLD) | 自己学習後の欠陥の立証責任 |
| 個人データの不正処理 | コントローラー(GDPR) | エージェント間データ共有の管理者特定 |
| チャージバック・紛争 | 既存ルールで未対応 | 新類型の責任分担フレームワーク |
消費者保護とデータプライバシー ── GDPR・ICOの動き
エージェンティックコマースの法的責任は、契約法と製造物責任法だけでは完結しません。AIエージェントは購買プロセスで大量の個人データを処理するため、データ保護規制との交差が不可避です。
2026年2月、英国情報コミッショナー事務局(ICO)はエージェンティックAIのデータ保護上の影響に関する初期見解を公表しました。その核心は明快です。AIエージェントがいかに自律的に行動しようとも、データ処理の法的責任はそのシステムを展開し、処理の目的と手段を決定するコントローラーに帰属します。技術的な自律性の高さは、法的責任の軽減にはつながりません。
さらに踏み込んだ分析を示したのがスペインのデータ保護当局(AEPD)です。AEPDは71ページにわたる技術・法的ガイダンスを公表し、AIエージェントのメモリリスク、プロンプトインジェクション攻撃、GDPR第22条に基づく自動意思決定への影響を包括的に整理しました。購買履歴や嗜好データをエージェントが蓄積・共有するエージェンティックコマースにおいて、GDPR上のデータ最小化原則との緊張関係は避けられません。
こうした信頼とセキュリティの課題は、技術的なフレームワーク構築だけでなく、法的な責任の明確化を同時に求めています。
日本法の視点 ── 民法・電子契約法と今後の課題
では日本ではどうか。結論として、AIエージェント購買に特化した法規制は現時点で存在しません。
日本の民法は、AIを法的主体として認めていません。AIエージェントの行為による損害は、民法第709条(不法行為)に基づき、その開発者・運用者の故意または過失を立証して請求する必要があります。Chambers and Partnersの2025年版ガイドが解説するとおり、AIに特化した責任法制は未整備です。
2025年5月28日に成立した「AI関連技術の研究開発及び活用の促進に関する法律」(AI推進法)は、イノベーション促進を主眼とした枠組みであり、責任配分の具体的ルールには踏み込んでいません。経済産業省は民事責任(不法行為、製造物責任)のAI事故への適用について仮想事例を用いた検討委員会を設置していますが、エージェンティックコマース固有の論点はまだ議論の俎上に上がっていません。
一方で、電子消費者契約法(電子契約法)は「操作ミス」による意思表示の取消しを一定条件で認めています。AIエージェントが消費者の意図と異なる注文を行った場合、この規定が類推適用される可能性はありますが、人間の操作ミスを前提とした法律がAIの行動にどこまで適用されるかは未知数です。
EC事業者にとって実務上重要なのは、経産省の「AI利用・開発契約チェックリスト」(2025年2月公表)を参考に、AIエージェント関連の契約条項を見直すことです。責任配分、ガバナンス体制、データ処理の範囲について、曖昧な条項を残さない対応が求められます。
EC事業者が今すぐ取るべき3つのアクション
法整備を待つ余裕はありません。Torysが提唱する5つの問いを出発点に、以下のアクションを検討してください。
利用規約にAIエージェント条項を追加する。 現行の利用規約は人間が操作する前提で書かれています。AIエージェント経由の注文に対する責任範囲、取消し条件、紛争処理のプロセスを明記してください。Clifford Chanceが警告するように、エージェンティックAIの機能リリースは契約の進化よりも速く、修正されていない契約はリスク配分が不公正になる可能性があります。
エージェント取引の監査証跡を構築する。 AIエージェントがどのような判断プロセスで注文に至ったかを記録する仕組みは、紛争発生時の責任特定に不可欠です。KYA(Know Your Agent)フレームワークやMastercardのVerifiable Intentのような暗号監査証跡の活用が、この課題への有力な解になります。信頼レイヤーが欠如したままでは、チャージバックや返品の処理コストが事業者に集中します。
EU PLD対応を準備する。 EU市場にAIを活用したサービスを提供する事業者は、2026年12月の国内法置換期限に向けた対応が必要です。特にAIの自己学習に起因する欠陥へのセキュリティ対策と、情報開示義務への準備は早期に着手すべきです。
まとめ
AIエージェントが締結する契約は法的に有効であるにもかかわらず、その行為が引き起こす問題の責任配分は、世界のどの法域でも十分に整理されていません。EU PLDの厳格責任拡大、UETA/E-SIGN法の「電子エージェント」概念、日本の民法・電子契約法。それぞれがパズルの一部を提供しているものの、エージェンティックコマース全体を包括するフレームワークはまだ存在しません。
法の空白は、紛争が起きた後ではなく、起きる前に埋めるべきものです。契約条項の見直しと監査体制の整備は、規制を待つまでもなく、今日から着手できる対策です。
