この記事のポイント
- Crossmintが、Visa Intelligent CommerceとBasis Theoryを使ったエージェント向けカード決済APIを正式公開した
- 既存の米国発行Visaカードを、カード番号を露出させずトークン化してAIエージェントに「限度付きで」委任できる
- EC事業者にとって、AIエージェントが自社カードを使う取引が現実の決済フローに乗り始めたことを意味する
Crossmintがエージェント向けカード決済APIを公開
Crossmint, a leading stablecoin and wallet infrastructure provider, today announced the public launch of its agentic card payments API using Visa Intelligent Commerce and Basis Theory.
www.prnewswire.com2026年6月2日、ステーブルコインおよびウォレットインフラを手がけるCrossmintが、AIエージェント向けのカード決済APIを正式に公開しました。このAPIはVisa Intelligent CommerceとBasis Theoryを基盤としており、開発者は米国発行のVisaクレジット・デビットカードを、自社のエージェントシステムの中で利用できるようになります。
注目すべきは、これが「実験」や「サンドボックス」ではなく、本番環境向けのドキュメントとともに一般提供(GA)された点です。OpenClaw、Claude Code、Hermes、Zo Computerといった既存のエージェントプラットフォーム上で動くエージェントが、利用者本人のVisaカードを使って安全に支払えるようになります。つまり、AIエージェントが人間の財布で買い物をするという構図が、カードネットワークの正規ルートに乗り始めたということです。
なぜ「エージェントにカードを持たせる」ことが難しかったのか
AIエージェントが消費者向け・業務向けの製品で重要な役割を担うようになっても、決済だけは長く取り残された領域でした。カードネットワークと互換性があり、かつ広く普及した「エージェントが安全に支払う方法」が存在しなかったからです。
その空白を、開発者は場当たり的な手段で埋めてきました。具体的には、生のカード番号やAPIキーをエージェントのコンテキストやプロンプトに直接渡すといった方法です。これは資格情報の漏洩や悪用のリスクを大きく高めます。Crossmintのリリースは、OpenClawのスキルマーケットプレイス「ClawHub」で公開されたスキルを調査した結果、7.1%のケースで安全でない資格情報の取り扱いが見つかったという調査に言及しています。
問題の本質は、エージェントが「自律的に動く」点にあります。人間がその場で都度カード情報を入力するモデルでは、エージェントに買い物を任せる意味がありません。かといって、生のカード番号をエージェントに丸ごと預ければ、無制限の支払い能力を渡すことになります。必要なのは「権限を絞った委任」の仕組みであり、それがこれまで決定的に欠けていました。
Visa Intelligent Commerceが担う役割
今回の発表の中核にあるのが、VisaのVisa Intelligent Commerce(VIC)です。VICは、AI主導のコマースを安全かつ大規模に実現するためにVisaが用意した一連のイニシアチブの総称で、エージェント決済の「認証」「認可」「決済」を支える基盤と位置づけられています。
VICの肝は、エージェントに渡すのが生のカード番号ではなくトークン化された資格情報(tokenized credentials)である点です。利用者は「Visa Intelligent Commerce Connect」を通じて、自分の既存Visaカードに紐づいたトークン化資格情報を作成します。このトークンは特定のエージェント・特定の文脈にバインドされており、発行体(イシュア)の承認と適用される制御の範囲内でのみ機能します。
ここで重要なのは、Visaがカード資格情報そのものを検証するだけでなく、そのエージェントがその取引を開始する「権限」を持っているかまでを検証する点です。これにより、人間が毎回その場にいなくても、安全な自律取引が成立します。Visa側でGrowth Products and Partnerships担当VPを務めるTanner Riche氏は、リリースの中で次のように述べています。
消費者がタスクをAIエージェントに委任し始める中で、決済における管理とセキュリティの維持は極めて重要です。Visa Intelligent Commerceは、消費者が明確な上限のもとでエージェント主導の支払いを承認できるソリューションを可能にし、その際に元となるカード情報を露出させない設計になっています。
Visaはすでに2025年12月時点で、AIエージェントが完全に自律的に開始・認証・完了した取引を本番環境で数百件処理したと公表しています。今回のCrossmintのAPIは、その仕組みを一般の開発者が呼び出せる形にした実装の一つにあたります。
AIエージェントにカードをどう発行・委任するのか
では実際に、利用者のカードはどのようにしてエージェントの「使えるカード」へと変換されるのでしょうか。ネットワーク各社の仕様を踏まえると、委任の流れはおおむね次の段階を踏みます。
まず利用者が一度だけ認証を行い、自分のカードをエージェントに紐づけます。このとき同時にポリシー(利用条件)を設定します。1取引あたりの上限金額、月間の上限、利用を許可する加盟店カテゴリ(MCC)、有効期限といったパラメータです。設定後、エージェントはこのポリシーの範囲内であれば、人間の都度承認なしに取引を実行できます。逆に、ポリシーを外れた取引はネットワークレベルで失敗します。
Crossmintのリリースによれば、カード番号とCVCはトークン化とボールティング(保管)の仕組みで保護され、支出上限(spend limits)によって取引のスコープが絞られるため、エージェントが生のカード番号を見る範囲は限定されます。これは「エージェントに必要な権限だけを、必要な取引のためだけに渡す」という最小権限の発想そのものです。
整理すると、委任モデルは次の三層で構成されます。
| 層 | 担うもの | 具体的な内容 |
|---|---|---|
| 認可・委任 | 利用者によるポリシー設定 | 1取引あたり上限、月間上限、許可する加盟店カテゴリ(MCC)、有効期限 |
| 資格情報 | トークン化とボールティング | 生のカード番号・CVCはボールトに保管し、エージェントにはスコープ付き権限のみ付与 |
| 実行・検証 | ネットワークによる検証 | カード資格情報に加え、エージェントの取引権限を検証。ポリシー外の取引はネットワークレベルで失敗 |
このモデルの利点は、利用者が「いつでも管理下に置ける」点にあります。Crossmintの共同創業者Alfonso Gómez-Jordana Mañas氏は、エージェント経済に欠けていたのは「すべてのエージェント、すべてのプラットフォームで機能する、安全でオープンな決済レイヤー」だったと述べ、今回の仕組みによって開発者は「スコープが絞られ、利用者の管理下にあり、信頼できる決済インフラの上に構築された支払い手段」をエージェントに与えられるようになったと説明しています。
Basis Theoryが支える資格情報レイヤー
委任モデルを成立させるうえで見落とせないのが、機微な決済データをどこで・どう扱うかという問題です。ここを担うのがBasis Theoryです。
Basis TheoryはPCI Level 1準拠とSOC 2認証を持つ独立系の決済ボールトで、今回の構成ではエージェント向け資格情報レイヤーとして機能します。実際のカード番号、CVC、トークン化資格情報といった機微なデータは、エージェントの実行環境とは独立してボールトに保管・処理されます。エージェントが受け取るのは、特定の取引に必要なスコープ付きの権限だけです。
この設計により、トークン化資格情報を使うAI開発者は、決済データの取り扱いに伴うPCI準拠の複雑さを大幅に回避できます。Basis Theoryの開発者ドキュメントによれば、同社の仕組みはBasis TheoryトークンをVisa Intelligent CommerceやMastercard Agent Payといったエージェント資格情報に変換することを可能にしています。Basis Theory共同創業者兼CEOのColin Luce氏は、トークン化が決済におけるほぼすべての革新の基盤技術であり続けてきたと指摘し、その最新形がエージェンティックコマースだと位置づけています。
つまり今回の発表は、Visa(ネットワークと認可)、Basis Theory(資格情報の保管とPCI)、Crossmint(開発者向けAPIと配信)という三者の役割分担で成り立っています。Crossmint自身も、この機能を自社のlobster.cashに組み込み、Claude CodeやOpenClawなどのプラットフォームにツールとして導入できるようにしています。
EC事業者への示唆
ここまでは決済インフラ側の話ですが、EC事業者にとっての意味は明確です。顧客のカードを握ったAIエージェントが、自社の決済フローに買い手として現れる時代が、実験段階を抜けて実装段階に入りました。
EC事業者がまず確認すべきは、自社の決済まわりがトークン化資格情報を前提とした取引を問題なく受け付けられるかです。エージェント取引はトークンとスコープ付き権限で構成されるため、生カード前提の旧来フローのままでは、正規のエージェント取引を不正と誤判定してしまうおそれがあります。
次に重要なのが、紛争処理の前提が変わる点です。VICでは、エージェントが加盟店での購入結果を「Commerce Signals」としてプラットフォームに共有し、これと利用者の指示が紛争解決の材料になります。エージェント経由の取引が増えれば、加盟店側もこうしたシグナルや権限の証跡を踏まえた紛争対応の設計が求められます。今のうちから、エージェント取引を識別し、適切に受け入れる準備を始める価値があります。
まとめ
Crossmintによるエージェント向けカード決済APIの一般公開は、「AIエージェントにカードをどう持たせるか」という長年の空白を、Visaのネットワークとトークン化という正規ルートで埋める一手です。生のカード番号を渡すのではなく、限度とスコープを付けたトークンを委任するという発想が、業界標準として固まりつつあります。
次に注目すべきは、米国発行Visaカードに限定された対象が地域・カードブランドを越えてどこまで広がるか、そしてMastercardやAmexを含む各ネットワークの委任モデルがどこで収束するかです。エージェントが買い手として日常的に決済フローへ入ってくる未来は、もう仮説ではなくなりました。
