2026年7月17日

HSBC UKとVisa、実稼働の加盟店サイトでAIエージェント決済を完了:既存カードレールに載せる選択と英国の消費者保護の論点

この記事のポイント

  1. HSBC UKが発行するカードで、AIエージェントが実際の加盟店サイトを操作して決済を完了しました。管理された検証用ストアではなく、稼働中のECサイトでの取引です。
  2. Visaはエージェント決済に専用の新レールを作らず、既存のカードネットワークに載せる方針を明確にしました。加盟店側の識別はTrusted Agent Protocol、本人認証はVisa Payment Passkeysが担います。
  3. 技術は動いた一方で、消費者保護のルールは追いついていません。英国のSCA(強力な顧客認証)もSection 75も、人間がボタンを押す前提で書かれています。

検証環境ではなく、動いているECサイトで起きたこと

英国の銀行カードが、AIエージェントの起動した購入に使われました。HSBC UKとVisaは、これを業界初のエンドツーエンドのエージェント取引だと説明しています。

ポイントは「live merchant website」というひと言に集約されます。これまでエージェント決済のデモは、そのために用意された検証用ストアで行われるのが通例でした。決済フローも在庫連携も、実験がうまくいくように整えられた環境です。今回はそこを出て、実際に稼働している加盟店のサイトで、実際の資金が動きました

HSBC UKのコンシューマーバンキング部門でChief Payments Officerを務めるAndy Rankin氏は、Finextraに掲載された発表文で、AIを活用したコマースは「人々の買い物の次の進化」になると述べています。同時に、顧客が自分の資金を確実にコントロールし続けられるようにすると付け加えました。この二つを並べて言うところに、銀行側の立ち位置が出ています。

「新しいレールは作らない」というVisaの選択

エージェント決済をどう処理するかについては、業界で二つの道筋がありました。ひとつは、AIエージェント向けに設計された新しい決済プロトコルを立ち上げる道。もうひとつは、既存のカードネットワークの上でエージェント取引を扱えるようにする道です。

VisaのUK & Irelandを統括するGroup Country ManagerのRob Cameron氏の発言は、後者を選んだことを明確に示しています。

AIエージェントは現実の環境で取引を開始し始めており、我々の役割はすべての取引が安全で、透明で、信頼できる状態を保つことです。HSBC UKのような発行会社のパートナーを、加盟店やAIシステムと我々のネットワークを通じてつなぐことで、すでに整備されているインフラと保護の仕組みを使ってこの次の段階のコマースを可能にしています。

「すでに整備されているインフラと保護の仕組みを使って」という部分が、この戦略の核心です。新しいレールを敷けば、加盟店は新しい接続を、消費者は新しい保護の枠組みを、規制当局は新しい監督の対象を、それぞれ一から引き受けることになります。既存のカードレールに載せれば、不正検知も紛争処理も加盟店契約も、動いているものをそのまま使えます。

二つのプロトコルが役割を分担する

とはいえ、カードレールをそのまま使えるわけではありません。二つの穴を埋める必要がありました。

加盟店から見た「このアクセスは何者か」問題を埋めるのが、Cloudflareと共同で設計されたTrusted Agent Protocol(TAP)です。加盟店のサイトに来るのが悪意あるボットなのか、消費者の委任を受けた正規のAIエージェントなのかを区別できるようにします。Visaはこれに加えてAgent Directoryを用意し、エージェントの身元を一貫した形で加盟店に伝えられるようにしました。既存のリスク管理やポリシーの枠組みにそのまま組み込める設計で、加盟店側に新しいインフラを要求しない点が意図的に強調されています。実装面ではCloudflareとAkamaiが支えています。

発行会社から見た「本人の意思なのか」問題を埋めるのが、Visa Payment Passkeysです。取引ごとに、検証済みのユーザーとその明示的な指示に紐づけて認可します。生体認証で本人確認を行うというHSBC UK側の説明は、ここに対応しています。

HSBC UKは30社超のうちの1社である

今回の発表を単独のニュースとして読むと、実態を見誤ります。

Visaは7月2日、パリで開催したVisa Payments Forumで、欧州全域でのライブ・エージェント決済の実行を発表していました。そこでは30社を超える欧州の発行会社がすでにエージェント実行の取引を完了したと明記されており、HSBC UKはその一覧に含まれています。Barclays、Lloyds Banking Group、NatWest、Nationwide Building Society、Revolut、Klarna、ING、BBVA、Commerzbankといった名前が並びます。加盟店側にはFrasers、Cleverbridge、BrickDepotなどが参加しました。

つまり今回のHSBC UKの発表は、7月2日にVisaが示した枠組みの中で、個別の銀行が自国市場に向けて改めて打ち出したものと理解するのが正確です。「業界初」という表現は、HSBC UK発行カードによるエンドツーエンドのエージェント取引という限定された範囲での話であり、欧州全体で見れば1社目ではありません。

Visa欧州のHead of Product and SolutionsであるMathieu Altwegg氏は、この段階を非接触決済の普及になぞらえています。標準とインフラとパートナーを揃えてエコシステム全体で進めるという意味では、確かに構図は似ています。

英国の消費者保護規則は、この取引を想定していない

技術が動いたことで、これまで抽象論として扱われてきた問いが具体的な形を取り始めました。ここが今回の実証のいちばん重い部分です。

英国のPayment Services Regulations 2017(PSRs 2017)は、規則67において、支払人がその特定の取引に同意を与えた場合にのみ取引が承認されたものとみなす、という構造を取っています。人間がカートを確認し、金額を見て、購入ボタンを押す。その一連の動作が同意でした。エージェントが消費者の設定したパラメータの範囲内で自律的に商品を選び、購入を決めるとき、「特定の取引への同意」はどこで成立したことになるのか。上限金額を設定した時点なのか、それとも個々の決済の瞬間なのか。この点は決着していません。

強力な顧客認証(SCA)も同じ問題を抱えています。Pinsent Masonsの法務分析は、SCA要件が人間起点の決済を前提に設計されており、消費者に代わって複数の取引を実行する自律エージェントには適していないと指摘します。同分析は、責任の所在についてもエージェントを起動した消費者なのか、AIシステムの開発者なのか、決済サービス提供者なのか、加盟店なのかが不明確であると述べています。Visa Payment Passkeysは、まさにこのSCA適合性を発行会社側で担保するために置かれた仕組みです。ただしそれは「認証は誰が行ったか」を解決するものであり、「判断を誤ったのは誰か」を解決するものではありません。

クレジットカードで100ポンド超30,000ポンド以下の買い物をした場合、Consumer Credit Act 1974のSection 75によって、消費者はカード発行会社に対しても契約違反や不実表示の責任を問えます。英国の消費者保護の代表格ですが、これもまた人間が買うことを前提に1974年に書かれた条文です。エージェントが商品説明を読み違えて意図しない商品を買った場合、それは加盟店の不実表示なのか、エージェントの誤読なのか。チャージバック規則も、人間起点の不正を想定して組み立てられています。

規制当局はこの状況を認識しています。FCAは2026年3月25日に公表したPayments Regulatory Priorities報告書で、自律的に決済を開始・実行するAIシステムに対応するため規制枠組みの変更が必要かを検討すると表明しました。新技術には既存の枠組みを適用するという従来の姿勢からの一歩踏み込みです。FCA CEOのNikhil Rathi氏は講演で、エージェンティックシステムを使う場合でも規制対象活動の説明責任は明確でなければならないと述べつつ、従来型のルールメイキングだけでは技術の速度に追いつけないとも認めています。

英国の消費者は、思われているより慎重である

推進側の発表だけを読むと普及は時間の問題に見えますが、需要側のデータは別の絵を描きます。

Checkout.comの調査レポート「Agentic Commerce 2026: The State of Consumer Demand and Merchant Readiness」によれば、英国の消費者は世界平均より明確に慎重です。英国人の41%はAIショッピングエージェントを運用する組織をひとつも信頼していないと答えており、グローバル平均の27%を大きく上回ります。購入をAIに委任することは決してないと答えた層も37%(グローバルは24%)に達しました。1年以内に購入の10%以上がAI経由になると予想する層は23%で、グローバルの33%を下回ります。

信頼を得るための条件も具体的です。英国の消費者が挙げた必須要件の上位は、簡単なキャンセル(31%)、権限の即時取消(31%)、購入前に選択肢を提示すること(27%)でした。加盟店側でも69%が、権限をリアルタイムで取り消せることが普及に不可欠だと認識しています。

現時点でAIエージェントが関与する取引は全体の3%にとどまる一方、加盟店の89%はエージェンティックコマースへの準備を進めています。技術と制度と消費者心理の三つが、それぞれ違う速度で動いているのが今の状況です。

EC事業者は何を準備すべきか

日本のEC事業者にとって、この英国の動きは二つの意味で参考になります。

ひとつは、エージェント経由のトラフィックを「ボットとして弾く」か「顧客として迎える」かの判断が、技術的に可能になりつつあるということ。TAPとAgent Directoryのような仕組みは、これまで二択でしかなかったボット対策に、第三の選択肢を持ち込みます。既存のリスク管理フレームワークに信号として組み込む設計である以上、対応コストは新規インフラの構築より小さくなります。自社のWAFやボット対策が、正規のエージェントを一律にブロックしていないかは、いま確認しておく価値があります。

もうひとつは、紛争処理の設計が競争要因になるということ。英国の消費者が求めた「即時取消」「簡単なキャンセル」は、規制が決着する前に加盟店が自主的に提供できる領域です。エージェント経由の注文に対して、人間の注文と同じかそれ以上に取消しやすい導線を用意できるかどうかは、エージェントに選ばれる加盟店になれるかを左右します。

なお、今回の発表では一般顧客への提供時期は未開示です。エージェント取引に固有の手数料体系や加盟店側の追加コストについても、公表されていません。

まとめ

HSBC UKとVisaが示したのは、エージェント決済が「新しい何か」ではなく「既存のカード決済の新しい入り口」として設計されつつあるという事実です。専用レールを立ち上げるより、動いているインフラの上に信頼の層を一枚足す。その判断は、普及の速度を上げる可能性が高いものです。

ただし技術が動いたことで、残った宿題の輪郭がはっきりしました。同意はどこで成立するのか、エージェントが誤った買い物をしたとき誰が払うのか。FCAが規制枠組みの見直しに動くと表明した以上、次に注目すべきは実証の件数ではなく、その検討がどんな結論に着地するかです。制度が固まるまで、加盟店は自らの手で信頼を設計するしかありません。