この記事のポイント
- PYMNTS IntelligenceとTruliooがAIエージェント認証の新フレームワーク「KYA」を発表
- ボット管理が企業の約90%で課題化し、デジタルID不備による損失は年間約950億ドル
- EC事業者はKYC→KYA→Know Your Humanの三層認証への対応準備が急務
AIエージェントの「身元確認」が始まる
'Know Your Agent' tools can help authenticate AI agents and defend against malicious bots as automation reshapes digital commerce.
www.pymnts.com2026年3月12日、PYMNTS IntelligenceはデジタルID認証企業Truliooとの共同調査レポート「How Enterprises Can Build a 'Know Your Agent' Defense」を公開しました。世界350社のコンプライアンス・リスク管理・不正対策リーダーへの調査に基づき、AIエージェント時代に必要な新しい本人確認フレームワーク「Know Your Agent(KYA)」の全体像を示しています。
エージェンティックコマースが急速に拡大するなかで、従来のKYC(Know Your Customer)やKYB(Know Your Business)だけでは対応できない領域が浮上しています。AIエージェントが自律的にアカウント開設や取引を実行する時代に、「そのエージェントは誰の代理か」「正当な権限を持っているか」を検証する仕組みが求められているのです。
背景と業界動向
エージェンティックコマースの成長に伴い、ボットトラフィックの管理は企業にとって最大級の課題になっています。調査では企業の約90%がボット管理を「主要な課題」と回答しました。さらに、デジタルID認証システムの不備によるフラウド・誤判定・コンプライアンス違反の損失は、回答企業全体で年間約949億ドルに達しています。これは平均して年間売上の3.1%に相当する額です。
特に深刻なのは、認証システムが正規ユーザーを誤ってブロックする「フォールスデクライン(誤拒否)」の問題です。56.3%の企業がボットやエージェントに関連する脅威に直面し、58.6%がボット起因のフラウドに苦しんでいます。一方で96.3%が「有害ボットを検出する能力に自信がある」と回答しており、認識と実態の乖離が鮮明です。
業界全体では、Visa、Akamai、Skyfireなど主要プレイヤーが独自のエージェント認証プロトコルを開発しています。Akamaiは「Web Bot Authentication」を、Visaは「Trusted Agent Protocol(TAP)」を、Skyfireは「KYAPay」をそれぞれ推進しており、エージェント認証の標準化競争が始まっています。
KYAフレームワークの三層構造
今回のレポートが提示する最大の概念は、本人確認を「三層構造」で捉える点です。
第一層:KYC(Know Your Customer) は従来どおり、個人の本人確認を担います。氏名・住所・ID書類の照合により、「この人は実在するか」を検証します。
第二層:KYA(Know Your Agent) は新たに加わった層です。AIエージェントの開発者、コードの完全性、ユーザーの同意、行動パターンをリアルタイムで検証します。Truliooのブログによれば、KYAは「Digital Agent Passport」という軽量かつ改ざん防止型のID層を導入し、エージェント主導の取引すべてを検証済みの人間と認可されたエージェントに紐づけます。
第三層:Know Your Human は、KYCとKYAを橋渡しする概念です。PYMNTSの解説記事では、「エージェントが有効なログイン資格情報や認証済み決済トークンを持っていても、人間が明示的に承認していない指示を実行する可能性がある」と指摘しています。Know Your Humanは、委任の連鎖が取引全体を通じて維持されていることを継続的に検証する仕組みです。
Trulioo最高プロダクト責任者のZac Cohen氏は、「エージェントが誰であるかを理解し、個人の指示とプロンプトを正確に伝えているかを確認したい」とインタビューで語っています。
技術的な認証プロトコルの動向
KYAの実装を支える技術標準も急速に整備されています。Akamaiのレポートは、主要な3つのプロトコルを紹介しています。
「Web Bot Authentication」はHTTP Message Signature Protocol(RFC 9421)に基づく軽量認証方式で、APIトークンや署名済み資格情報をボットに発行します。GoogleやOpenAI、Microsoftなど主要ボット運営者との採用推進が進んでいます。
「KYAPay」はSkyfireが開発したオープンプロトコルで、AIエージェントとサービス間の決済に特化しています。登録・承認後に暗号化されたJWT(JSON Web Token)を発行し、リクエストごとにサーバー側で検証します。
Visaの「Trusted Agent Protocol(TAP)」は、HTTP Message Signature標準をベースにカード決済向けに設計されたプロトコルです。他のカード発行会社とも連携し、エージェント経由のEC取引を標準化する動きが進んでいます。
これらのプロトコルは、GoogleのAgent2Agent(A2A)ProtocolやModel Context Protocol(MCP)とも連携可能です。
EC事業者への影響と活用法
EC事業者にとって、KYAフレームワークへの対応は「いつか」ではなく「今」の課題です。具体的に準備すべきポイントは以下の通りです。
まず、ボット管理の方針を「全遮断」から「選別管理」へ転換する必要があります。Akamaiの分析では、高度な検知手法で検出されるスクレイピング量は、AIボットカテゴリの直接トラフィックの8倍に達しています。AIボットを一律にブロックするだけでは保護として不十分です。
次に、トークナイゼーションとエージェント認証の統合を検討すべきです。KYC後に発行されたトークンを検証済み属性やデバイス情報、エージェント権限と紐づけることで、高速取引と追跡可能性を両立できます。グローバル統合IDプラットフォームを導入した企業では、65.6%がデジタル取引の拒否率低下を、62.5%が誤検知の減少を報告しています。
さらに、責任の所在を明確にする枠組みを構築することが重要です。Truliooの Cohen氏は「責任問題がエージェンティック取引の本格普及における最大のボトルネック」と指摘しており、紛争・チャージバック・返金時のトレーサビリティ確保が不可欠です。
まとめ
KYAフレームワークは、エージェンティックコマースにおける「信頼のインフラ」と位置づけられます。Trulioo CTOのHal Lonas氏が「エージェンティックコマースは機能するが、最初はゆっくりと、人間が判断ゲートで承認する制約的な形で始まる」と述べているように、段階的な普及が見込まれます。
今後注目すべきは、Visa TAP・KYAPay・Web Bot Authの標準化競争の行方と、各ECプラットフォームがどのプロトコルを採用するかです。KYC→KYA→Know Your Humanの三層構造が業界標準として定着すれば、「オンライン決済に暗号化がもたらしたのと同じ効果を、エージェンティックコマースにもたらす」というTruliooのビジョンが現実となります。EC事業者は今のうちから自社の認証基盤を見直し、エージェント対応の準備を進めることが求められます。
