投稿者 global-ai-media 
AIがユーザーに代わって自律的に商取引やタスクを実行する「AIエージェント」の実用化が進む中、その身元をいかに証明・確認するかが新たな課題となっています。信用情報機関大手のExperianとセキュリティ企業のAkamaiが推進する「Know Your Agent」の取り組みを紐解き、日本企業が直面するガバナンスとセキュリティの課題について解説します。
AIエージェント時代の新たな課題:「そのAIは誰の代理か?」
大規模言語モデル(LLM)の進化に伴い、AIは単なるチャットボットから、ユーザーの指示を受けて自律的に複数のシステムを操作し、目的を達成する「AIエージェント(Agentic AI)」へと移行しつつあります。旅行の予約からBtoBの部品発注、さらには金融取引に至るまで、AIが人間の代理としてWebサービスにアクセスし、商取引(AI Driven Commerce)を行う未来はすぐそこまで来ています。
しかし、ここで大きな課題となるのが「信頼」です。自社のサービスにアクセスしてきたAIエージェントが、本当に正当なユーザーから委任されたものなのか、あるいは悪意のある攻撃者が放った不正なボット(自動プログラム)なのかを、サービス提供側はどのように見分ければよいのでしょうか。
KYCから「KYA(Know Your Agent)」へ
この課題に対するグローバルな動きの一つが、世界的な信用情報機関であるExperianと、クラウドセキュリティ大手のAkamaiらによるエコシステムの拡大です。この取り組みの中核にあるのが「Know Your Agent(KYA:エージェントの身元確認)」という新しい概念です。
金融機関などで厳格に行われている顧客の本人確認を「KYC(Know Your Customer)」と呼びますが、KYAはそのAIエージェント版と言えます。KYAの仕組みは、AIエージェントの開発者は誰か、どのプラットフォームで稼働しているか、そして背後にいる実ユーザーは誰なのかを、一貫した方法で識別・証明する手段を提供します。これにより、サービス提供側は「身元が確かなAIエージェント」のみをシステムに受け入れ、安全に取引を完了させることが可能になります。
日本の法規制と商習慣における壁と対策
このAIエージェントの身元確認というテーマは、日本の企業・組織にとっても対岸の火事ではありません。特に日本の商習慣においては「問題が起きた際の責任の所在(責任分界点)」が非常に重視されます。万が一、AIエージェントが誤った発注を行ったり、不正な決済を引き起こしたりした場合、責任を負うのはAIの開発者か、プラットフォーム事業者か、それともユーザーかを事前に明確にしておく必要があります。
また、日本には「犯罪収益移転防止法(犯収法)」に基づく厳格な本人確認要件が存在する業界も多くあります。人間の代わりにAIが手続きを行う場合、法的に有効な「代理権」をどう確認し、セキュリティと利便性をどう両立させるかは、法務・コンプライアンス部門にとって難易度の高いテーマです。加えて、従来のセキュリティ対策は「不審なボットをすべて遮断する」ことが基本でしたが、これからは「正当なAIエージェントは通し、悪意のあるボットは弾く」という、より高度なアクセス制御(APIセキュリティなど)が求められるようになります。
日本企業のAI活用への示唆
今回の取り組みから見えてくる、日本企業に向けた実務上の示唆は以下の3点です。
第一に、「AIエージェントからのアクセスを前提としたサービス設計」です。自社のWebサービスやECサイトが、将来的に人間のブラウザ操作だけでなく、AIエージェントからのAPIアクセスを大量に受けることを想定し、認証基盤やトラフィック制御の仕組みを見直す必要があります。
第二に、「自社提供AIエージェントの透明性確保」です。自社で顧客向けのAIエージェントを開発・提供する場合、外部のサービスから「不審なボット」として遮断されないよう、身元や振る舞いのルールを明示し、KYAのような標準的な仕組みに準拠していく姿勢が求められます。
第三に、「法務・セキュリティ部門との早期連携」です。AIエージェントが自律的に外部と取引を行うシステムを構築する場合、技術的な検証(PoC)の段階から、電子契約や代理権の法的解釈、なりすましリスクへの対策について、社内の専門部署と共通認識を形成しておくことが、プロジェクトを安全に推進するための鍵となります。