本レポートは Tiger Research が作成しました。AIエージェントは既に契約に署名し、支払いを行い、取引を行うことができます。しかし、まだ解決されていない問題があります:相手のエージェントが本当に誰であるか、どうやって確認するのでしょうか?この記事では、KYA標準を巡る4つのプレイヤーの戦略と、規制の進捗状況を整理します。
核心要点
- AIエージェントが契約の自動実行、支払い、取引の時代に入りつつあるが、市場には身元を検証する統一された標準が存在しない。A2A(エージェント間)シナリオでは、KYAがKYCよりも注目され始めている。
- KYAはすべての場所で必要というわけではありません。Google、OpenAI、Coinbaseのような中心化プラットフォーム内では、既存のKYCで十分です。KYAが必要となるのは、独立してデプロイされたエージェントがDEX、A2A支払い、 merchant支払いに接続するときです。
- 標準の争いはすでに始まっている。ERC-8004、Visa TAP、Trulioo、Sumsubは、それぞれチェーン上、支払いネットワーク、コンプライアンス認証、リスク検出の四つの方向からアプローチしており、道筋はまったく異なる。
- 規制が動き出した。EUのAI法案、米国NIST、シンガポールの国家フレームワークのいずれも、エージェントのアイデンティティ管理を優先事項としている。2019年のFATFトラベルルールがどの暗号資産取引所が生き残るかを決定したように、今回はKYAが同様のシナリオを繰り返す可能性が高い。
1. なぜ今なのか
KYCは金融のその層を再構築しました
1989年以前、世界の金融には統一された身元確認基準が存在しなかった。この空白により、麻薬資金や黒金の源を追跡することが困難だった。その年、FATFが設立され、KYCが金融業界の必須要件となり、不正資金を外に遮断した。
その後30年間、KYCの影響は段階的に拡大した。2001年の9・11テロ後、反テロ資金調達条項が追加され、米国のパトリオット法によりKYCは法的義務となった。2010年代には、EUのAMLD、バーゼル協定III、FATCAが次々と実施され、クロスボーダーKYC情報の自動交換が開始された。2019年にはFATFのトラベルルールにより、KYCは仮想資産サービスプロバイダーに拡大された。
每一次延伸,都是在补一个空白。
エージェントの識別がなければ、システムは後退する
今に戻ります。AIエージェントは人間が監視しなくても、自ら契約を締結し、支払いを行い、取引できます。しかし、誰もそれが誰であるかを検証できません。
A2A環境では、責任の所在が曖昧であり、問題が発生した際に誰に責任があるのか明確でない。ユーザーはマネーロンダリングやさまざまな詐欺に巻き込まれやすい。
1989年以前の金融と2026年のエージェント市場を並べて見ると、構造が驚くほど似ている。当時は匿名アカウントが国境を越えて移動し、今は検証されていないエージェントがA2A取引を行っている。当時の検証責任は各銀行に個別にあり、現在は各プラットフォームに個別にある。共通の標準は存在しない。
このような類似性は偶然ではなく、法則です。技術は先行しましたが、アイデンティティ層が追いついていません。
KYAとは何ですか
KYA(Know Your Agent)は、エージェントの出所、権限、責任の帰属を事前に確認する信頼メカニズムです。
このステップをスキップすると、三つのリスクが同時に発生します。第一に権限を超えた取引:ユーザーが支払いのみを許可しているにもかかわらず、エージェントが資産を移動したり、範囲外の契約を締結したりします。第二に身元偽装:悪意のあるエージェントが合法なエージェントに偽装し、支払いを乗っ取り、偽の応答を送信し、信頼を盗用します。第三に責任の空白:問題が発生した際、エージェント、開発者、委託者が責任を押し付け合い、賠償の追及が困難になります。
KYAは、この3つのことを事前にロックすることを目的としています。事前に登録し、権限範囲を検証して、権限を超える操作は即座にブロックします。身元と送信元を検証し、合法的なエージェントのみを許可します。各エージェントの送信元と委託先は記録に紐づけられ、問題が発生した場合でも追跡可能です。
2. KYAはどこで運用されますか
どこでも必要というわけではない
中央集権プラットフォーム内では、実際のところKYAはそれほど必要ありません。ユーザーがKYCを完了しており、プラットフォーム自身がリスクをカバーしているため、全体のフローは閉じています。
KYAを必要とするのは、プラットフォーム外のオープンな環境です。エージェントはDEXと連携し、A2A支払いを行い、 merchant に支払いを行う必要があります。このとき、誰も保証してくれず、誰も代わりに保証することはできません。
たとえば、国内で移動する場合は、身分証明書(KYC)があれば十分です。しかし、国境を越える(プラットフォーム外に出る)と、環境が変わり、入国審査(KYA)を受けて、目的と信頼性を明確に説明する必要があります。
4ステップのプロセス
KYAの動作は4つのステップに分けられます。前半の2ステップは「パスポート発行」:まずエージェントの身分と権限を登録し、認証後にデジタルパスポートを発行します。後半の2ステップは「入国審査」:取引発生時に相手の身分を確認し、取引結果に応じて記録を更新します。
認証は一度発行されれば永続するのではなく、各取引ごとに再確認されます。
3. 4人のプレイヤーが標準を奪い合っています
標準争いには現在4つのプレイヤーがおり、それぞれの道筋はまったく異なります。
ERC-8004:アイデンティティをNFT化する
ERC-8004は完全なオンチェーンアプローチを採用しています。ERC-721の上に識別層を追加し、エージェントごとに一意のIDとしてNFTがmintされます。
三つのオンチェーンレジストリが備わっています。Identityは「このエージェントは誰か」を担当し、ERC-721に基づく一意のAgentIDを用います。Reputationは「それと取引できるか」を担当し、取引完了後にチェーン上に評価、タグ、証拠を残します。Validationは「そのエージェントが本当にその行為を実行したか」を担当し、第三者検証者がzkMLやTEEなどのプラグインを用いて確認します。
この構造はイーサリアムの歴史において初めてではない。ERC-20はトークン発行を標準化し、USDT、USDC、UNI、AAVEはすべてその上に構築されている。ERC-721はNFT発行を標準化し、CryptoPunks、BAYC、ENSがNFT市場全体を支えてきた。ERC-8004が担うのは、同じ位置にある3番目の標準である。
Visa TAP:支払いネットワークでパッケージ化
Visaのアプローチはまったく異なります。Visaはエージェントに「Agent Intent」という身分証明を発行し、これは一種のカードのようなものです。この鍵がなければ、エージェントは取引を開始することさえできません。Visaは事前に承認を行い、その後で鍵を発行し、毎回の取引には署名を付けて Merchant に送信します。
商人が受信するのは1つの署名ではなく、3つです。Agent Intent は、VIC が承認したキーによって裏付けられたエージェントの正当性を証明します。Consumer Recognition は、誰のために作業しているかを示し、ユーザー識別子を商人に送信します。Payment Information は、支払いトークンまたはハッシュ化されたカード情報を使って認証を行い、支払いの保証を提供します。
Visaは、この一連の仕組みを「Visa Intelligent Commerce(VIC)」というより大きなパッケージに組み込みました。VICには、TAPに加えて、Agent APIs(Visaカード利用時に使用される独自技術)、Tokenization(AI専用のトークン)、およびIntelligent Commerce Connect(AP2、ACP、x402などの競合プロトコルと互換性を持つ)が含まれています。
論理は明確です。Visaはかつて支払いネットワークの入口を掴み、今度はエージェント時代も自らの軌道に組み込もうとしています。エージェント決済がカードネットワークを踏襲し、このパッケージがデフォルトオプションとなれば、Visaのシェアは安定します。
Trulioo:SSLの仕組みをそのまま適用する
Truliooは、グローバルなKYC、KYBコンプライアンス分野のプレイヤーであり、現在その検証スタックをKYAに拡張しています。
それはウェブサイトのSSL証明書のモデルを参考にしています。SSLでは、CA(証明機関)がウェブサイトにTLS証明書を発行し、ドメイン名のみを検証します。Truliooが提唱するDPA(デジタルパスポート機関)は、開発者のKYBとユーザーのKYCを検証するために、エージェントにDAP(デジタルエージェントパスポート)を発行します。
DAPは静的な証明書ではありません。これは更新されるアクティブなトークンで、毎回の取引で再検証されます。委任が取り消されたり異常が検出されると、DAPは直ちに無効になります。
これには5つのチェックポイントがあります:Provenance(どの開発者が作成したか)、User Binding(誰が承認したか)、Permission Scope(何ができるか)、Behavior Telemetry(現在何をしているか)、Risk Scoring(リスク評価)。
銀行とフィンテックは法的に個人および企業の身元を確認しなければなりません。エージェントが金融分野に進出しても、TruliooのKYC、KYBの立場はむしろ安定します。
Sumsub:異常を監視し、証明書を発行しない
Sumsubのアプローチは、前の3社とは異なります。標準や証明書を発行するのではなく、エージェントが異常な取引を示した際に、その背後にある人物を再確認します。
2015年から合规なビジネスを実施しており、その認証システムは現在、エージェントの異常行動を検出するために使用されています。プロセスは3段階に分かれています。まず自動検出を行い、デバイスとエージェントの特徴を用いて人間と機械を識別します。次に、コンテキスト、金額、履歴データを組み合わせてリスクスコアを付与します。最後に、高リスク・大額・重要な変更時にのみLiveness認証を起動し、登録された実在の人物を再確認します。
Sumsubの4つの特徴は、他のプレイヤーとは明確に異なります。同社は標準策定者ではなく、コンプライアンス運営者として出発しました。認証のタイミングは事前登録ではなく、リスク取引が発生したときです。認証方法はデータやトークンではなく、リアルな人物による再確認です。哲学は、エージェントを直接ブロックするのではなく、エージェントと責任者を結びつけることです。
他のプレイヤーは事前に一括認証を行いますが、Sumsubは発行後のリアルタイム検証を実施しています。エージェントの権限が拡大するほど、異常検出が重要になります。詐欺手法は技術とともに進化しており、Sumsubのリアルタイムスタックに注目すべきです。
4. 監規が実施される前に
FATF旅行規則のシナリオ
2019年にFATFの旅行規則が発表されると、VASP業界は即座に分裂した。KYC、AMLインフラのコストに耐えられる企業は生き残り、耐えられない企業は閉鎖または規制が緩い地域へ移転した。CryptoBridge、Deribitもその波で強制的に調整を余儀なくされた。
規制は終わりではなく、分岐点である。
KYA、今回のシナリオも同じかもしれない。EU、シンガポール、米国はすでにリードを奪っている。
EUのAI法案第12条は、高リスクAIシステムの操作ログに操作者の身元を含めることを明確に要求している。シンガポールは、身元管理をエージェントにまで拡張し、各エージェントに責任を負う主体を設けることを求めた、世界初の国家レベルのエージェントAIガバナンスフレームワークを発表した。米国NISTは、エージェントの身元管理を優先標準分野に指定している。
時間枠が狭まっています。
勝者单一にはなりません
標準を巡る競争の真の変数は技術ではなく、組み合わせである。主要プレイヤーはすでに協力と組み合わせの段階に入っている。今後、どの企業がどの merchant、支払いネットワーク、KYC カスタマーグループと連携するかが、各セグメントの帰属を決定する。
この市場には单一の勝者はいません。
オンチェーン自己取引の分野では、イーサリアムが圧倒的にリードする可能性が高い。支払いと紐づいた取引シナリオでは、Visaが明確な優位性を持つ。規制を受けた金融業界では、TruliooのKYC、KYBの蓄積は代替が難しい。不正リスクを伴う取引シナリオでは、Sumsubのリアルタイム検出がより適している。
四社は直接の競合相手ではなく、それぞれ異なる領域を占有している。真の競争は、どのシナリオがどの領域に属するかにある。
KYCは1989年から今日に至るまで、30年かけて世界の金融のアイデンティティ層を補完してきた。
このラウンドは、リズムがはるかに速くなるように見えます。規制当局が動き出し、標準的なプレイヤーが陣を敷いています。スケールの拡大のための時間的窓口は、今後数年間かもしれません。
最後に残るのは、最も技術が優れている者ではなく、アイデンティティインフラに最も早く接続した者である。