この記事のポイント
- インドのCERT-Inが「Digital Threat Report 2025-26」で、一定の金額閾値を超えるエージェンティックAIの実行に対し、human-in-the-loop(人間による監視・介在)と完全な監査証跡を義務付けるよう提案しました。
- 同じ7月にNPCIがUnified Agent ProtocolでAIエージェントによるUPI決済を解禁しようとしており、解禁側と規制側が同時に動く構図が生まれています。
- 争点は「エージェントに決済させるか否か」ではなく、同意・限度額・監査証跡・可逆性という4つのガードレールをどの層が持つかに移っています。
CERT-Inが提案した「金額閾値を超えたら人間が介在せよ」

CERT-In proposes human oversight for high-value agentic AI payments as India weighs AI agents for UPI transactions.
www.medianama.comインド電子情報技術省(MeitY)傘下のサイバーセキュリティ機関CERT-Inが、AIエージェントによる決済に人間の関与を義務付ける提案を示しました。MediaNamaが報じたところによると、提案は「Digital Threat Report 2025-26」に記載されています。
報告書の文言は簡潔です。
Mandate human-in-the-loop controls for agentic AI actions above defined financial thresholds, with full audit trails.(定められた金額閾値を超えるエージェンティックAIの実行には、完全な監査証跡を伴うhuman-in-the-loop統制を義務付けよ)
human-in-the-loopとは、AIの処理フローの中に人間が監視者または介在者として入る設計を指します。エージェントが自律的に判断した結果をそのまま実行させず、一定の条件下では人間の承認を通す。決済の文脈では、「エージェントが選び、人間が最後に押す」という分業を制度として固定する提案だと読めます。
注目すべきは、この提案が単独のAI規制文書ではなく、銀行・金融・保険(BFSI)セクター向けのサイバー脅威報告書の中に置かれている点です。報告書はSISA、CERT-In、CSIRT-Finの共同で作成されており、フォレンジック調査やインシデント対応の実務から積み上げられています。つまりエージェント決済は、イノベーション政策ではなく脅威対策の項目として扱われています。
その背景にあるのが、報告書が「AI asymmetry(AIの非対称性)」と呼ぶ認識です。フロンティアAIモデルの攻撃能力が、それを封じ込めるはずの規制・防御・運用の枠組みよりも速く伸びている、という警告でした。インドのBFSIセクターは2025年に290万件のサイバー攻撃を受け、2021年の140万件から2倍以上に増えています。報告書はその論拠として、Anthropicが2025年11月に開示したGTG-1002(中国系グループがClaudeを使い世界30社を標的とし、作戦の最大90%をAIが実行したとされる事案)や、2026年4月にフロンティアモデルが1,000超のOSSプロジェクトで23,000件以上の脆弱性を自律発見した事例を挙げました。
攻撃側がすでにエージェント化しているのだから、防御側の金融インフラも非人間主体の取引を前提に作り直せ。CERT-Inの提案は、そういう順序で出てきています。
解禁のアクセルと規制のブレーキが同月に動いた
この提案が興味深いのは、タイミングです。同じ2026年7月、インドはエージェント決済を国家インフラとして解禁する側の動きも進めていました。
UPIを運営するNPCIが、AIエージェントを登録・検証・認可してUPI決済を実行させる新プロトコル「Unified Agent Protocol(UAP)」を開発中であることがBusiness Standardの報道で明らかになっています(詳細はNPCIが「Unified Agent Protocol」を開発、AIエージェントによるUPI決済を国家インフラとして許可へで解説しました)。UAPは既存のUPIレールには手を入れず、信頼できるエージェントを見分ける検証レイヤーを上に重ねる設計とされています。
同じ政府の内側で、片方が「エージェントに決済させる仕組みを作る」と動き、もう片方が「一定額を超えたら人間を挟め」と釘を刺す。これは矛盾ではなく、制度設計として正常な綱引きだと見るべきです。NPCIはUAPの導入にRBI(インド準備銀行)の承認を要するとされており、最終的な安全弁の水準はNPCIとRBIの設計次第になります。CERT-Inの提案は、その設計協議に対する事前の入力として機能します。
先行事例もすでに動いています。Pine Labsは6月にUPI上でエージェント決済を完結させるプロトコル「P3P」を発表し、エージェント認証フレームワーク「Grantex」をオープンソース化しました(Pine Labsが「P3P」発表、AIエージェントがUPIで人の認証なしに決済)。RazorpayはNPCI、OpenAIと組んだパイロットを進めています。民間が先に走り、規制が輪郭を描き始めたという順番です。
ただし、決まっていないことのほうが圧倒的に多い状態です。「一定の金額閾値」が具体的にいくらなのか、義務化の施行時期、UAPの技術仕様、違反時の責任分界は、いずれも未開示です。現時点のCERT-In文書は提案であり、拘束力のある規則ではありません。
MediaNama創業者が示した、ハンドル・PIN・限度額
規制の中身を具体化する議論として、MediaNama創業者のNikhil Pahwa氏の提案が報道内で紹介されています。同氏はNPCIに対し、エージェンティックUPIを展開する前にまず信頼を構築すべきだと述べました。
エージェンティックコマースが失敗するのは、信頼が欠けているからです。米国でエージェントにカードを渡した人が、Instagramのインフルエンサーに影響されたエージェントに2,500ドルの講座を購入されたと主張した事例もあります。ガードレールと救済手段、そして可逆性が必要ですが、インドではそれが難しい。
同氏の提案は3つに整理できます。第一にアイデンティティで、エージェントに委任専用のハンドルを与えること。agent-nixxin@ybl のように、人間の決済アドレスとエージェントの決済アドレスを最初から分けておく発想です。第二にエージェント専用PINをデフォルトで有効にし、ユーザーが無効化した瞬間に限度額を初期値まで引き下げる。第三に取引限度額を、1取引あたりの上限、月あたりの取引回数と金額、日次と週次の取引回数という3類型で設定させること。
この3点セットが優れているのは、いずれもエージェントの取引を人間の取引と混ぜないという一点に収束している点です。ハンドルが分かれていれば、加盟店も銀行も「これはエージェントが打った取引だ」を最初から識別できます。識別できれば、限度額も監査も紛争処理も別扱いにできる。Pahwa氏がAIエージェントに銀行口座ではなくウォレットを持たせるべきだと主張しているのも、同じ発想です。ウォレットは影響範囲を封じ込めるからです。
論点はガードレールをどの層に置くか
ここからが、この一連の動きの本質です。エージェント決済の設計論は同意・限度額・監査証跡・可逆性の4つに集約されつつあり、CERT-Inの提案はこのうち2つを名指ししています。
同意は、すでに国際的な標準化競争の対象です。GoogleのAP2(Agent Payments Protocol)は、ユーザーが最終カートに署名する「Cart Mandate」を人間が在席する取引に、条件付きの権限を事前に与える「Intent Mandate」を人間が不在の取引に割り当て、両者を検証可能な資格情報として分離しました。CERT-Inの「金額閾値を超えたらhuman-in-the-loop」という提案は、この人間在席と不在の境界を金額という一次元の物差しで国が引くと宣言したに等しく、プロトコルの設計思想と規制の設計思想が同じ問題に別方向から到達しています。
監査証跡もAP2は当初から織り込んでおり、Intent、Cart、Paymentの各マンデートを連鎖させて否認不能な記録を作る構造です。NPCIの役割も、報道によれば決済要求が正当かを確認し、エージェント取引のログを保持するところで止まる想定とされています。ここは規制とプロトコルの要求が素直に噛み合う領域です。
一方で限度額は、UPIにAutoPayやReserve Payという既存機能があるぶん、実装の目処が立ちやすい部分です。ユーザーが上限を決めて一度UPI PINで認証すれば、その範囲内で後続の決済が走る。UAPもこの延長線上で、銀行口座への無制限アクセスではなく事前承認された上限の中で動く想定だと報じられています。
問題は可逆性です。Pahwa氏が「インドでは難しい」と留保を付けたのはここで、Business Standardも、現行のチャージバックや紛争解決の仕組みが人間が起票した取引を前提に作られており、AI起点の取引に適応させることが大きな課題だと指摘しています。エージェントが誤った判断で買ったとき、それは不正利用なのか、委任の範囲内で起きた本人の判断ミスなのか。この線引きは技術ではなく責任分界の問題であり、金額閾値と監査証跡だけでは解けません。4つのガードレールのうち、可逆性だけが明確な担い手を欠いたまま残っています。
human-in-the-loopの義務化は、この未解決部分に対する保険という側面を持ちます。可逆性を保証できないなら、そもそも取り消したくなる取引を自動で走らせない。金額で線を引くのは粗い方法ですが、責任分界の設計が間に合っていない現状では、実装可能な唯一の防波堤に近いという見方もできます。
EC事業者にとっての意味
エージェント経由の注文を受ける側から見ると、この議論は「規制の話」では終わりません。
もしインドで金額閾値ルールが実装されれば、エージェント決済のフローに金額次第で承認待ちが挿入されることになります。閾値未満は自動で通り、閾値超は人間の承認を待つ。EC側の実装から見れば、これは決済が同期的に完了しない取引が一定割合で混ざることを意味します。在庫の引き当てをいつ確定させるか、承認待ちの間に価格や在庫が変わったらどうするか、承認が来なかった注文をどう畳むか。カート放棄とは異なる新しい中断パターンを、注文管理の側で扱う必要が出てきます。
もう一つは識別です。エージェント専用ハンドルや、AP2のPayment Mandateのようにエージェントの関与と人間の在席有無を決済ネットワークに伝える仕組みが広がれば、加盟店は取引ごとにそれを受け取れる可能性があります。これは不正検知のルールにも、返品ポリシーの適用にも効いてきます。人間が在席して署名した注文と、事前委任の範囲でエージェントが自動実行した注文を同じ基準で扱い続ける前提は、遠からず崩れます。
インドの動きが日本のEC事業者にとって重要なのは、UPIが月間230億件超を処理する世界最大級のリアルタイム決済網であり、そこで採用された設計が事実上の参照実装になりうるからです。日本で同じ規制が来るという話ではありません。ただ、エージェント決済に金額閾値と監査証跡を求める発想そのものは、脅威報告書という出自を考えれば、各国の金融当局が独立に到達しうる結論です。
まとめ
CERT-Inの提案は、エージェント決済をめぐる議論の重心が移ったことを示しています。「AIに払わせてよいか」ではなく、「どこまでを自動で通し、どこから人間に戻すか」を誰がどの物差しで決めるか。インドはそれを金額という単純な線で引こうとしています。
閾値の水準も施行時期も未開示で、UAPはRBIの承認を待つ段階にあります。次に注目すべきは、NPCIとRBIが最終的な安全弁をどの高さに設定するか、そして誰も明確な答えを持っていない可逆性と責任分界の問題に、どちらが先に手を付けるかです。エージェントに払わせる仕組みは、すでに複数の民間プロトコルが形にしています。難所は、間違えたときに巻き戻す仕組みのほうです。




