この記事のポイント
- Proveが発表した「Prove Identity Platform」は、単発の本人確認を「継続的なトラストレイヤー」へと転換し、人・法人・AIエージェントを同じ基盤で検証する
- 同時期に登場したFime FACT、HUMAN Security Agentic Visibilityと合わせ、エージェント時代の「トラストレイヤー競合地図」が一気に形成されつつある
- EC事業者にとって既存KYC/KBAだけでは不十分で、「この取引を依頼したのは本人か、正当なエージェントか」を取引のたびに検証する設計への移行が避けられない
本人確認から「継続的トラスト」へ――Proveが示したエージェント時代の設計思想
Prove, the leader in digital identity, today launched the Prove Identity Platform, a unified platform that transforms identity from a one-time verification into an ongoing trust layer.
www.businesswire.com2026年4月22日、米国の大手デジタルIDプロバイダーProveが「Prove Identity Platform」を発表しました。米国の大手銀行上位20行のうち19行が採用するKYC/認証基盤を提供してきた同社が、ブランドメッセージを「one-time verification」から「persistent trust layer」へと明確に切り替えた格好です。
発表の核心は、アイデンティティを「ある瞬間に確認する行為」ではなく、「すべてのやり取りを通じて継続的に検証される基盤」として再定義した点にあります。オンボーディング時の本人確認、ログイン時の認証、モニタリングによる不正検知──従来は別々のシステムで運用されてきたこれらの処理を単一の継続的シグナルに統合する。その思想が、AIエージェントが「本人に代わって」取引を始める時代への答えとして提示されました。
同社CEOのRodger Desai氏は、「AIは顔を捏造し声を複製できても、10年分の本物のデジタル行動履歴は再現できない」と述べています。Proveは12年分の認証済みIDヒストリーを保有し、世界のデジタル成人人口の90%をカバーするとされ、この「時間軸の厚み」こそがエージェント経済で差分になるという主張です。
Prove Identity Platformの3つのコアコンポーネント
プラットフォームはすべてのProveソリューションの基盤として動作し、以下3つのコンポーネントが標準で組み込まれます。
Prove Key Management は暗号鍵をユーザーデバイスに紐付けた適応型認証を提供し、セキュリティ・規制要件と利便性を両立します。Prove Identity Manager はデバイス・電話番号・キャリアの変更といった「IDのライフサイクルイベント」を能動的に監視し、リアルタイムで異常を通知します。Prove Global Fraud Policy はネットワーク横断で収集される不正インテリジェンスを単一の防御ポリシーに統合します。
注目すべきは「Agentic Suite」の拡張です。ProveはプラットフォームからエージェントワークフローへIDをそのまま延伸し、暗号署名された同意(cryptographically signed consent)をIDトークンに直接埋め込みます。エージェントが行動を起こすたびに「人間であることの証明」「同意の証明」「認可の証明」を1回のトークン呼び出しで同時に検証できる──これが同社の主張する設計です。統合先にはOpenAI、Anthropic、Salesforceが挙げられています。
Crone ConsultingのRichard Crone氏は次のように述べました。
2030年までに、地球上のすべての人間に対して4から40のAIエージェントが代理行動するようになる。どのエージェントも、継続的に検証されたアイデンティティを背後に持たないまま行動することを許されてはならない。
「Trust Layer競合地図」が2日で揃った4月21-22日
Proveの発表の文脈を理解するうえで重要なのは、直前の2日間に同じ「エージェンティックコマースのトラストレイヤー」を掲げた発表が立て続けに出ている点です。
4月21日、決済・IDテスト認証の老舗Fimeが「FACT(Framework for Agentic Commerce Trust)」を発表しました。独立した監査エージェントが取引単位でトラストを証明(attestation)し、エージェントの行動がユーザー意図やエンタープライズポリシーに沿っているかを継続的に検証する仕組みです。同じ4月21日には、ボット対策のHUMAN SecurityがSightline Cyberfraud Defenseに「Agentic Visibility」を拡張し、Adobeとの統合も発表しています。人間・ボット・AIエージェントを精密に区別し、商品発見・チェックアウト・ロイヤルティといった主要ワークフローでエージェントの挙動を可視化する機能です。
焦点は三者三様です。Proveは「本人のデジタル行動履歴を軸にした継続的ID」、Fimeは「取引単位の独立した信頼証明」、HUMAN Securityは「マーケティング・コマース現場でのエージェント可視化」。いずれも「単発のKYCでは届かない領域」を、異なる角度から埋めに来ています。
| プレイヤー | 発表時期 | アプローチ | 主要機能 |
|---|---|---|---|
| Prove Identity Platform | 2026/4/22 | 継続的ID基盤 | 12年分の認証履歴、ライフサイクル監視、同意署名済みIDトークン |
| Fime FACT | 2026/4/21 | 取引単位の信頼証明 | 独立監査エージェント、意図検証、ポリシー準拠の継続評価 |
| HUMAN Agentic Visibility | 2026/4/21 | ネットワーク可視化 | 人間・ボット・AIエージェントの識別、チェックアウト可視化、Adobe統合 |
この地図は、エージェンティックコマースのトラストレイヤーが単一プロダクトでは埋まらないことを示唆しています。ID基盤・取引単位の検証・ネットワークレベルの識別が、積み重なってはじめて「AIに取引させても安全」と言える状態が作られます。
ACP・AP2・x402との役割分担
トラストレイヤーは、決済プロトコル層と補完関係にあります。OpenAIとStripeが2025年9月に発表したAgentic Commerce Protocol(ACP)、Googleが推進するAgent Payments Protocol(AP2)、Coinbaseのx402──これらは「エージェントがどう決済リクエストを送るか」を規定するものであり、「そのエージェントを信じてよいか」「そのユーザーが同意したか」は別レイヤーの問題です。
Proveが強調するのは、この「誰が・何の権限で・いつまで」を証明する層を、既存の決済プロトコルにトークンとして流し込める設計にした点です。AP2の「Mandate」概念、ACPが想定する支払い指示の検証、x402の402 Payment Requiredフローのいずれにも、Proveのような継続的IDシグナルはホスト側(マーチャント、発行銀行、ネットワーク)の与信判断で必要になります。
VisaがAnthropic・OpenAI・Perplexityをエージェンティックコマースのパートナーに指名したことをProveがリリース冒頭で引用している点も示唆的です。ネットワーク側(Visa、Mastercard)、プロトコル側(ACP/AP2/x402)、そして信頼基盤側(Prove、Fime、HUMAN)──この三層が噛み合ってはじめて、エージェント経由の取引がマーチャントに対して「承認可能な信号」として届きます。
マーチャントが設計すべき「Human or Agent」検証フロー
実務面で最も変わるのは、マーチャントのチェックアウト設計です。従来は「本物の人間か、ボットか」の二項対立で識別すればよかったところに、「正当な委任を受けたAIエージェントか、不正利用者が操るエージェントか」という軸が加わります。
Proveの設計では、エージェントがマーチャントにアクセスした瞬間に、そのエージェントが保持するIDトークンから「どの人間が、何を、どの条件で委任したか」を即時に検証できます。これはHUMAN SecurityのAgentic Visibilityが提供する「チェックアウト時のエージェント識別」と組み合わさることで、マーチャントは次のような分岐を設計できるようになります。
正当なエージェント×検証済み委任なら自動承認、正当なエージェントだが委任スコープ外なら追加認証、識別不能なエージェントならブロック──という3層の意思決定です。この分岐を人手で運用することは現実的ではなく、IDトークンの中身をポリシーエンジンで解釈できる仕組みが前提になります。
BetMGMの事例では、ProveのPre-Fill・Unified AuthenticationをIdentity Platformに載せ替えたことで、オンボーディング短縮と不正対策を同時に強化したとされています。ゲーミングのように「本人性の間違いが経営リスクに直結する」業界ほど、継続的トラストへの移行は早い。EC・決済事業者も同じ圧力にさらされることになります。
EC事業者・決済事業者への実務的示唆
今回の動きが示すのは、既存のKYC/KBA(秘密の質問)・2FA・デバイスフィンガープリントだけでは、エージェント経由の取引を安全に承認する根拠として不十分になるという現実です。必要になるのは「オンボーディング時点の静的な本人確認」ではなく、「取引の瞬間ごとに更新される信頼スコア」です。
既存ID基盤の拡張ポイントは3つに整理できます。まず、認証イベント(ログイン・決済・高リスク操作)ごとに外部のトラストシグナル(Prove、Fime、HUMANのようなサービス)を呼び出し、リスクエンジンの入力を増やすこと。次に、エージェント経由のリクエストを識別するために、User-Agent・IPレピュテーションに加え、ACP/AP2/x402などのプロトコル層で流れる「委任トークン」をアプリケーション側で解釈できるようにすること。そして、同意の記録と撤回のUXを「1回きりの規約同意」から「エージェントごと・スコープごとの同意台帳」に切り替えることです。
決済事業者にとっては、発行側・アクワイアラ側のリスクエンジンに「エージェント由来」を示すシグナルを取り込める設計が差別化要因になります。Visaが指摘した「AIエージェントが本人の同意なく取引を始める」リスクに対し、ネットワーク単独では解けない問いに、トラストレイヤー企業の連携で答える構図が見えてきました。
まとめ
エージェンティックコマースの本命は決済プロトコルだけではなく、その下で「誰を信じるか」を継続的に判定する基盤にあります。Proveの発表は、Fime FACT・HUMAN Agentic Visibilityと並んで、この層が独立した市場カテゴリとして立ち上がったことを示しました。
今後の焦点は、IDトークンの仕様がACP・AP2・x402といった決済プロトコルとどこまで標準化され、発行銀行・カードネットワーク・マーチャントのリスクエンジンにどう統合されるかです。EC事業者は、自社のチェックアウトを「人間のみ」前提から「人間とエージェントが混在する前提」に書き換える議論を、認証・同意・ログの3点から始めておく価値があります。
