お問い合わせ
インサイト一覧
2026年5月27日

KYCからKYAへ――エージェンティックコマースに必要な新しい信頼レイヤー「Know Your Agent」とは

目次
Agentic Commerce Studio - AIエージェント購買を、ブラウザで検証

この記事のポイント

  1. ECも決済も「購入するのは人間」という前提で設計されてきたが、AIエージェントの登場でその前提が崩れ、本人確認(KYC)だけでは取引の正当性を担保できなくなっている
  2. 「どのエージェントが、誰の委任を受けて、どこまでの権限で取引したか」を検証するKYA(Know Your Agent)が、エージェンティックコマースの新しい信頼レイヤーとして台頭している
  3. VisaのTrusted Agent Protocol、Mastercard Agent Pay、GoogleのAP2など主要プレイヤーがKYAの実装に動いており、EC・決済事業者にはエージェントの識別と委任証明の整備が求められる

購入したのが「誰」なのかを問い直す

From KYC to KYA: The New Trust Layer in AI Commerce

AI agents have inserted an autonomous intermediary between the human and the 'pay now' button, breaking the human-centric assumptions behind KYC and fraud monitoring. A new trust layer, Know Your Agent, is needed to verify which agent acted, on whose authority, and with what mandate.

www.unite.ai

買い物はこの十数年で驚くほど便利になりました。週末の食材も、パーティーに着ていく一着も、スマートフォンを数回タップすればドアの前まで届きます。AIエージェントはその利便性をさらに一段押し上げる存在で、数秒のうちに数百のサイトを横断して最安値を探し、「小さくて丸くて緑色だった何か」というあいまいな指示からでも商品を見つけ出します。一見すると、使いやすいインターフェースの進化の延長線上にあるように見えます。しかしUnite.AIが指摘するように、その快適さの下ではコマースのインフラそのものが、かつてないかたちで書き換えられつつあります。

ECプラットフォームは長らく、「すべての購入は人間が行う」というきわめて単純な前提の上に組み立てられてきました。10年前、15年前であれば、人間以外の誰が買い物をするというのでしょうか。ユーザーの一連の行動はKYC(本人確認)システムと不正監視ツールによって形づくられ、それらは不正利用の抑止に十分機能していました。その構造が、ごく最近になって覆りました。

変化の核心は、人間と「今すぐ支払う」ボタンのあいだに、自律的な仲介者が割り込んできたことにあります。エージェントは持ち主と同じように商品を探し、価格を比べ、プロモコードを適用しますが、その判断ロジックは必ずしも追跡しやすいものではありません。そして決済の瞬間、ユーザーはその場にいないかもしれない。ここに認可とアカウンタビリティをめぐる懸念が生まれます。プラットフォームはユーザー本人を確認できたとしても、その購入が本当に本人の意図したものなのか、それとも本人が許可していない振る舞いをエージェントが勝手に行ったのか、を見分ける手立てを持っていません。

KYCが「不十分」になりつつある理由は、まさにここにあります。必要になるのは、エージェントの活動そのものを追跡できる新しい仕組み、すなわちKnow Your Agent(KYA)と呼ばれる信頼レイヤーです。PYMNTSはこの枠組みを、従来のKYC・KYB(事業者確認)に続く第3の認証レイヤーとして位置づけています。

KYAが答えなければならない問い

KYAが実効性を持つためには、いくつかの問いに同時に答える必要があります。そのエージェントはどの程度信頼できるのか。背後にいるのは誰なのか。ユーザーからどこまでの権限を委任されているのか。そして争いが起きたとき、どんな証拠を残せるのか。最後の問いはとりわけ重要です。なぜなら、数十億ドル規模の損失がその一点にかかってくるからです。

身元確認サービスを手がけるTruliooは、KYAを「すべてのエージェントの行動を、検証可能なアイデンティティ(どのエージェントの、どのバージョンか)と、説明責任を負う権限(誰を代理し、何を許可されているか)に紐づける」枠組みとして整理しています。単にエージェントを識別するだけでは足りません。そのエージェントがいつ、誰の同意のもとで、どんな制約の範囲で動いているのかまでを束ねて初めて、信頼が成立します。

実装手法を提供するSumsubも、エージェントの出自・完全性・権限を継続的に検証し、各アクションを検証済みのソースまでさかのぼれるようにすることがKYAの要点だと述べています。ここで見落とされがちなのは、これが一度きりのチェックではないという点です。エージェントはマシン速度で連鎖的に行動し、ときに権限を自動的に拡張します。人間のログイン時に一回確認すれば済む、という従来の発想では追いつきません。

ブラックボックスの「注意」を引く競争

ECサイト側がこうした問いを織り込み始めると、自社のビジネスモデルそのものがどれほど根本的に変わりつつあるかに気づくはずです。ユーザーは商業的なタスクをエージェントに与え、機械がそれを独自に解釈する。その解釈の過程は、いわばブラックボックスです。売り手とプラットフォームは、人間ではなく機械のロジックに合わせ、その「注意」を自社の商品に引きつける工夫を迫られます。

人は視覚的に目を引くブランドを選んだり、体験や感情に訴える広告に動かされたりします。同じやり方でエージェントを感心させるのは、はるかに困難です。人間はしばしば面倒くさがり、検索結果の最初の数ページしか見ず、最上位の広告枠をそのままクリックします。対してエージェントは数十ページを数秒で走査し、最後のページにある商品であっても、最良のマッチだと判断すればそれを選びます。結果として、プラットフォームは広告やブランドプロモーションでこれまでと同じように稼ぐことが難しくなり、売り手は有料枠による露出拡大の効きが鈍るかもしれません。

この変化は、フィンテックと決済インフラにとってとりわけ重い意味を持ちます。クライアントが有効なカードを使い、取引が不正に見えないことを確認するだけでは、もはや足りないからです。決済事業者は一つひとつのオペレーションについて、それが信頼できるエージェントによって、実在するユーザーのために実行されたものかどうかまで見極める必要があります。Salesforceの調査では、すでに約40%の消費者が何らかのかたちで買い物にエージェンティックAIを使っているとされ、この検証の重みは日ごとに増しています。

アイデンティティ・意図・実行を束ねる決済基盤

この課題を乗り越えるため、次世代の決済インフラはアイデンティティ・意図・取引実行という複数のレイヤーを単一のシステムに統合していくことになります。決済は取引そのものではなく、コンテキストを中心に据える方向へ移ります。カード認証情報、加盟店カテゴリ、ロケーション、デバイスといった従来の指標だけでは、AIエージェントが満ちた世界では不十分です。プラットフォームは「誰が」その取引を引き起こし、「どんな権限(マンデート)」のもとにいるのかを理解する方法を見つけなければなりません。

エージェントが誤った取引を実行するリスクをいかに下げるか――これが決済システムにとって最重要の課題になります。KYAが既存の不正スコアリングを置き換えるわけではなく、その周囲を取り囲むもう一枚のレイヤーとして機能する点は押さえておくべきでしょう。

主要プレイヤーはすでにこの方向へ動いています。Mastercardは、登録済みエージェントと追跡可能な取引を軸とした安全な決済基盤としてAgent Payを構築しています。トークンを発行する前に、エージェントを「Know Your Agent」と呼ばれるプロセスで登録・検証し、正当な当事者だけをオンボードする設計です。発行されるのは短命でスコープを限定した動的トークンで、エージェントID・意図・同意証明といったガバナンス用のメタデータを運びます。

Visaは、悪意あるボットと正規のエージェントを加盟店が見分けられるようにするTrusted Agent Protocolを提示しました。暗号署名されたHTTPメッセージにエージェントの意図・検証済みユーザーID・決済情報を載せ、タイムスタンプやセッション識別子によってリプレイ攻撃を防ぎます。Googleが打ち出したAP2(Agent Payments Protocol)は、購買を「意図(Intent)」「カート(Cart)」「決済(Payment)」という3つの署名付きマンデートで表現し、それぞれをW3C Verifiable Credentialとして検証可能にします。これらは一例にすぎず、決済インフラの次の段階としてKYAを位置づける企業は着実に増えています。

EC・決済事業者は何を準備すべきか

こうしたシステムが重要なのは、多くの事業者がまだ問題を計測すらできていないからです。エージェントトラフィックとボットトラフィックを区別していない加盟店もあれば、あらゆるAI取引を無条件に許可している事業者もあります。裏を返せば、ここにはリアルタイム分析を提供し、コマース事業者の信頼を勝ち取り、新たな収益源を見いだす余地が残されています。

EC・決済事業者にとっての出発点は、自社サイトを訪れるエージェントを識別できる状態をつくることです。エージェントの取引パターンは人間のブラウジングとは速度も同時実行性も異なるため、不正ボットと正当なエージェントを切り分ける検出の精度が問われます。そのうえで、カード情報を丸ごと渡すのではなく、加盟店・金額・用途を限定したトークン型の委任認可へ移行し、すべての認可イベントを改ざんできない監査証跡として残す。VisaやMastercard、Googleが進める標準への対応を視野に入れた基盤づくりが、争いが起きたときに自社を守る備えになります。

まとめ

コマースの未来は、もはや「誰が支払ったか」だけでは決まりません。「どのエージェントが判断を下したか」、そしてその判断が本当に顧客の意図を反映していたかが問われます。KYCからKYAへの移行は、エージェンティックコマースが概念から実装フェーズへ進んだことの裏返しです。EC・決済事業者にとっては、エージェントの識別、スコープ付きの委任認可、監査証跡の自動化という地道な準備を段階的に積み重ねることが、新しい信頼レイヤーの上で競争力を保つ条件になっていくでしょう。

次の記事Stordが$250M調達・評価額$3Bへ ── ロボティクスとAIで挑む「コマースの物理知能レイヤー」とAmazon対抗の論点
おすすめの記事
2026年3月27日

AIエージェント向けID認証基盤の開発競争が激化――Ping Identity、Saviynt、Dock Labsら一斉参入

2026年5月18日

「あなたは本当にあなたか」 — エージェンティック時代のDigital Trust再設計とFIDO・Experianが描く認証エコシステム

2026年3月23日

Palo Alto Networks Unit 42が警告、AIエージェントを悪用した小売詐欺の具体的シナリオとは