この記事のポイント
- Visa TAPはRFC 9421に基づくHTTP署名でAIエージェントの身元を暗号的に証明するオープンプロトコル
- 2025年末に数百件の実取引が完了し、100社以上のパートナーが参画するエコシステムが形成されている
- 既存のWeb・決済インフラを活用する設計のため、加盟店は大規模な改修なしにエージェント決済に対応可能
Visa TAP(Trusted Agent Protocol)とは何か
AIエージェントがECサイトで商品を購入する時代が現実になりつつあります。しかし、加盟店の立場から見れば、アクセスしてきたボットが正規のAIエージェントなのか、悪意あるスクレイパーなのかを判別する手段がありません。この「信頼のギャップ」を埋めるためにVisaが2025年10月に発表したのが、Trusted Agent Protocol(TAP)です。
TAPの本質は、AIエージェントに「デジタル身分証明書」を持たせることにあります。エージェントがHTTPリクエストを送信するたびに暗号署名を付与し、加盟店がVisaの公開鍵でその署名を検証する仕組みです。署名は特定の加盟店サイトと特定のページに紐づけられ、時間制限もあるため、再利用や転送はできません。
エージェンティックコマースの拡大に伴い、こうした信頼レイヤーの整備は急務です。VisaはCloudflareとの協業(Web Bot Auth)を通じてこのプロトコルを設計し、既存のWebインフラの上に構築するというアプローチを選択しました。新たな決済ネットワークを作るのではなく、すでに加盟店が使っているHTTPの仕組みにエージェント認証のレイヤーを追加するという発想です。
技術アーキテクチャ――RFC 9421とWeb Bot Authの融合
TAPを理解するうえで欠かせないのが、その技術基盤です。プロトコルの核心には2つの標準規格があります。
1つ目はRFC 9421(HTTP Message Signatures)です。これはIETFが策定したHTTPメッセージに暗号署名を付与するための標準仕様で、送信者の身元と、メッセージが改ざんされていないことを受信者が検証できます。TAPではEd25519鍵ペアを使用し、エージェントは秘密鍵でリクエストに署名、加盟店はVisaの公開鍵ディレクトリから取得した公開鍵で検証を行います。
2つ目がWeb Bot Authです。これはCloudflareが提案している、ボットやAIエージェントがHTTPリクエストに暗号署名を添付するための仕組みで、Signature-InputヘッダとSignatureヘッダの2つを使います。Visa Developer Centerの仕様書によると、署名ベース文字列は受信した順序どおりに正規化されるため、順序やスペースの変更があれば検証は即座に失敗します。
では、実際のデータフローはどう動くのか。エージェントが加盟店のサイトにアクセスすると、HTTPリクエストに3つの情報が暗号署名として含まれます。Agent Intent(信頼済みエージェントであること、および購買意思があること)、Consumer Recognition(消費者が既存アカウントを持つか、過去に取引があるかを示すデータ)、Payment Information(加盟店の決済フローに適合する形式の決済データ)の3つです。
加盟店側の処理はシンプルです。受信したHTTPリクエストの署名を検証し、Visaの公開鍵ディレクトリでそのエージェントが承認済みかどうかを確認するだけです。既存のWebサーバーにミドルウェアを追加する形で実装でき、チェックアウトフロー全体を再構築する必要はありません。
GitHubリポジトリでは仕様書とリファレンス実装が公開されており、開発者は実際のコードを参照しながら統合作業を進められます。MastercardのVerifiable Intentが「意思の証明」に重きを置くのに対し、TAPは「身元の証明」を起点にしている点が設計思想の違いとして興味深いところです。
エージェント登録からトランザクションまでの流れ
技術仕様だけでは全体像が見えにくいため、エージェント開発者の視点から実際のフローを追ってみます。
まず、エージェントのオンボーディングです。AIエージェントをTAPに参加させるには、Visa Intelligent Commerceの審査プログラムを通過する必要があります。審査では、エージェントがVisaの信頼基準を満たすかどうかが検証されます。承認されたエージェントにはEd25519鍵ペアが発行され、公開鍵がVisaの登録ディレクトリに格納されます。
次に、加盟店でのトランザクションです。承認済みエージェントが加盟店のECサイトにアクセスすると、RFC 9421に準拠した署名付きHTTPリクエストを送信します。加盟店はVisaの公開鍵ディレクトリからそのエージェントの公開鍵を取得し、署名を検証します。検証に成功すれば、「このエージェントはVisaが承認した正規のショッピングボットであり、悪意あるスクリプトではない」と確認できます。
最後に、異常検知です。署名検証に加え、Visa Intelligent Commerceは機械学習ベースの異常検知レイヤーを備えています。エージェント主導のトランザクションをリアルタイムで監視し、不審なパターンを検出する仕組みです。TAPの静的な身元証明と、動的な行動分析を組み合わせることで、多層的なセキュリティを実現しています。
エコシステムの広がりと実証実績
2025年12月、Visaはパートナー企業との協業で数百件のエージェント主導トランザクションが完了したと発表しました。人間がチェックアウトボタンを押すことなく、AIエージェントが消費者に代わって実際の加盟店で購入を完了した初の大規模実証です。
パートナー企業の陣容も急速に拡大しています。Oscilarの分析によると、グローバルで100社以上がVisa Intelligent Commerceに参画し、30社以上がサンドボックス環境で開発を進め、20を超えるエージェントプラットフォームが直接統合を進めています。決済プロセッサーとしてはNuvei、Adyen、Stripeが早期採用パートナーとして名を連ねています。
地域展開も加速しています。アジア太平洋ではVisa Intelligent Commerceの拡大が進み、2026年初頭からパイロットプログラムが始動予定です。欧州ではVisa Agentic Readyプログラムが正式ローンチされ、イシュアー(カード発行会社)向けにエージェント決済の検証環境を提供しています。中南米・カリブ海地域でも主要加盟店でのAI決済対応が準備されています。
競合プロトコルとの位置づけ
エージェンティック決済の標準化は、Visa TAPだけで完結するものではありません。MastercardのVerifiable Intent、GoogleのAP2(Agent Payments Protocol)、さらにStripeのShared Payment Tokenなど、複数のプロトコルが併存しています。
| 項目 | Visa TAP | Mastercard Verifiable Intent | Google AP2 |
|---|---|---|---|
| アプローチ | HTTP署名による身元証明 | 暗号証明による意思検証 | トークン化決済プロトコル |
| 技術基盤 | RFC 9421 + Web Bot Auth | FIDO / EMVCo / W3C | OAuth 2.0 + REST |
| 公開形態 | オープン(GitHub公開) | オープンソース(GitHub公開) | オープン仕様 |
| 対象レイヤー | エージェント認証 + 決済情報伝達 | 意思証明 + 紛争解決 | 決済実行 |
| 主要パートナー | Cloudflare, Stripe, Adyen, Nuvei | Google, Fiserv, IBM, Checkout.com | Mastercard, Visa, PayPal |
重要なのは、これらのプロトコルが排他的な関係ではなく、それぞれ異なるレイヤーをカバーしている点です。TAPはエージェントの「身元証明」、Verifiable Intentは消費者の「意思証明」、AP2は「決済実行」を担います。PYMNTS.comの報道でVisaが「決済ハイパースケーラー」と呼ばれているように、TAPはVisa Intelligent Commerceという大きな戦略の一構成要素であり、他のプロトコルと組み合わせて使われることを前提に設計されています。
エージェンティックAIプロトコルの全体像で整理されているように、ツール連携にはCommerce MCP、エージェント間通信にはA2A、そしてコマース領域にはTAP + Verifiable Intent + AP2という棲み分けが進んでいます。EC事業者にとっては、個別のプロトコルを直接実装するよりも、StripeやAdyenといった決済プロバイダー経由で間接的に対応するのが現実的な選択肢です。
EC事業者が今準備すべきこと
TAPへの対応は、段階的に進めることが可能です。
まず確認すべきは、利用中の決済プロバイダーの対応状況です。Stripe、Adyen、Nuveiといった主要プロセッサーはTAPの早期採用パートナーであり、これらを利用している加盟店はプロバイダー側のアップデートを通じて自動的にTAP対応が進む可能性があります。Stripeのエージェンティック決済対応の進捗を注視しておくことが重要です。
独自にTAPを統合する場合は、Visa Developer CenterのGetting Startedガイドに従い、署名検証のミドルウェアをWebサーバーに追加します。RFC 9421準拠の署名検証ライブラリはオープンソースで複数公開されているため、技術的なハードルは低い方です。
Visaは2026年のホリデーシーズンまでに数百万人の消費者がAIエージェント経由で購入を行うと予測しています。この予測が現実になるかどうかは未知数ですが、TAPの仕様がオープンに公開され、主要決済プロバイダーが対応を進めている現状を考えると、KYA(Know Your Agent)フレームワークとあわせて、エージェント認証への備えを始めておく価値はあります。
まとめ
Visa TAPは、AIエージェント時代の「身分証明書」インフラとして、既存のWebと決済の仕組みを巧みに活用した設計が特徴です。RFC 9421という確立された標準規格の上に構築されているため、加盟店にとっての導入障壁は比較的低く抑えられています。2026年後半に向けたエコシステムの拡大が、エージェンティックコマースの実用化をどこまで加速させるか。その答えは、今年のホリデーシーズンに見えてくるはずです。
