本レポートは Tiger Research が作成しました。AIエージェントは既に契約に署名し、支払いを行い、取引を自ら行うことができます。しかし、まだ解決されていない問題があります:相手のエージェントが本当に誰なのか、どうやって確認するのでしょうか?この記事では、KYA標準を巡る4つのプレイヤーの戦略と、規制の進捗状況を整理します。
核心要点
- AIエージェントが契約の自動実行、支払い、取引の時代に入りつつあるが、市場には身元を検証する統一された標準がない。A2A(エージェント間)シナリオでは、KYAがKYCよりも注目され始めている。
- KYAは处处必要というわけではない。Google、OpenAI、Coinbaseのような中心化プラットフォーム内では、既存のKYCで十分である。真正にKYAが必要なのは、独立してデプロイされたエージェントがDEX、A2A支払い、 merchant支払いに接続するときである。
- 標準の争いはすでに始まっている。ERC-8004、Visa TAP、Trulioo、Sumsubは、それぞれチェーン上、支払いネットワーク、コンプライアンス認証、リスク検出の四つの方向からアプローチしており、道筋は全く異なる。
- 規制が動き出した。EUのAI法案、米国NIST、シンガポールの国家フレームワークのいずれも、エージェントのアイデンティティ管理を優先事項に挙げている。2019年のFATFトラベルルールがどの暗号資産取引所が生き残るかを決定したように、今回はKYAが同様のシナリオをたどる可能性が高い。
1. なぜ今なのか
KYCは金融のその層を再構築しました
1989年以前、グローバルな金融には統一された身元確認基準が存在しなかった。この空白により、麻薬資金や不正資金の源を追跡することが困難だった。その年、FATFが設立され、KYCが金融業界での必須要件となり、不正資金を外に遮断した。
その後30年間、KYCの影響は段階的に拡大した。2001年の9・11テロ後、反テロ資金調達条項が追加され、米国のパトリオット法によりKYCは法的義務となった。2010年代には、EUのAMLD、バーゼル協定III、FATCAが次々と実施され、クロスボーダーKYC情報の自動交換が開始された。2019年にはFATFのトラベルルールにより、KYCは仮想資産サービスプロバイダーに拡大された。
每一次延伸,都是在补一个空白。
エージェントの識別がなければ、システムは後退する
今に戻ります。AIエージェントは人間が見守らなくても、自ら契約を締結し、支払いを行い、取引できます。しかし、誰もそれが誰であるかを検証できません。
A2A環境では責任の所在が曖昧であり、問題が発生した際に誰に問い合わせるべきか明確でない。ユーザーはマネーロンダリングやさまざまな詐欺に巻き込まれやすい。
1989年以前の金融と2026年のエージェント市場を並べて見ると、構造が驚くほど似ている。当時は匿名アカウントが国境を越えて移動し、今日は検証されていないエージェントがA2A取引を行っている。当時の検証責任は各銀行に個別にあり、今日も各プラットフォームに個別にあり、共通の標準は存在しない。
このような類似性は偶然ではなく、法則です。技術は先に進みましたが、アイデンティティ層が追いついていません。
KYAとは何ですか
KYA(Know Your Agent)は、エージェントの出所、権限、責任の帰属を事前に確認する信頼メカニズムです。
このステップをスキップすると、3つのリスクが同時に発生します。第一に権限を超えた取引:ユーザーが支払いのみを許可しているにもかかわらず、エージェントが資産を移動したり、範囲外の契約を締結したりします。第二に身元偽装:悪意のあるエージェントが合法なエージェントに偽装し、支払いを乗っ取り、偽の応答を送信し、信頼を盗用します。第三に責任の空白:問題が発生した際、エージェント、開発者、委託者が責任を押し付け合い、賠償の追及が困難になります。
KYAは、この3つのことを事前にロックすることを目的としています。事前登録と権限範囲の検証により、権限を超える操作を即座にブロックします。身份と送信元を検証し、合法的なエージェントのみを許可します。各エージェントの送信元と委託先は記録に紐づけられ、問題が発生した場合でも追跡可能です。
2. KYAはどこで運用されますか
どこでも必要というわけではない
中央集権プラットフォーム内では、実際のところKYAはそれほど必要ありません。ユーザーがKYCを完了しており、プラットフォーム自身がリスクをカバーしているため、全体のフローは閉じています。
KYAを必要とするのは、プラットフォーム外のオープンな環境です。エージェントはDEXと連携し、A2A支払いを行い、 merchant に支払いを行う必要があります。このとき、誰もバックアップせず、誰も保証してくれません。
たとえば、国内で移動する際には身分証(KYC)で十分です。しかし、国境を越える(プラットフォーム外に出る)と環境が変わり、入国審査(KYA)を受けて、目的と信頼性を明確に説明する必要があります。
4ステップのプロセス
KYAの動作は4つのステップに分解できます。前半2ステップは「パスポート発行」:まずエージェントの識別情報と権限を登録し、認証後にデジタルパスポートを発行します。後半2ステップは「入国審査」:取引発生時に相手の身元を確認し、取引結果に応じて記録を更新します。
認証は一度発行されれば永続的に有効というわけではなく、毎回の取引ごとに再確認されます。
3. 4人のプレイヤーが標準を奪い合っています
標準争いには現在4つのプレイヤーがおり、それぞれの道筋は全く異なります。
ERC-8004:アイデンティティをNFT化する
ERC-8004は完全なオンチェーンアプローチを採用しています。ERC-721の上にアイデンティティ層を追加し、各エージェントには一意のIDとしてNFTがミントされます。
三つのオンチェーンレジストリが備わっています。Identityは「このエージェントは誰か」を担当し、ERC-721に基づく一意のAgentIDを提供します。Reputationは「それと取引できるか」を担当し、取引完了後にチェーン上に評価、タグ、証拠を残します。Validationは「本当にその行為を実行したか」を担当し、第三者検証者がzkMLやTEEなどのプラグインを用いて確認します。
この構造はイーサリアムの歴史において初めてではない。ERC-20はトークン発行を標準化し、USDT、USDC、UNI、AAVEはすべてその上に構築されている。ERC-721はNFT発行を標準化し、CryptoPunks、BAYC、ENSがNFT市場全体を支えてきた。ERC-8004が担うのは、同じ位置にある三番目の標準である。
Visa TAP:支払いネットワークでパッケージ化
Visaのアプローチはまったく異なります。Visaはエージェントに「Agent Intent」という身分証明を発行し、これは一種のカードのようなものです。この鍵がなければ、エージェントは取引を開始することさえできません。Visaは事前に承認を行い、その後で鍵を発行し、毎回の取引には署名を付けて merchant に送信します。
商人が受信するのは1つの署名ではなく、3つです。Agent Intent は、VIC が承認したキーによって裏付けられたエージェントの正当性を証明します。Consumer Recognition は、誰のために作業しているかを示し、ユーザー識別子を商人に渡します。Payment Information は、支払いトークンまたはハッシュ化されたカード情報を使って支払いの保証を提供します。
Visaは、この一連の仕組みを「Visa Intelligent Commerce(VIC)」というより大きなパッケージに組み込みました。VICには、TAPに加えて、Agent APIs(Visaカード利用時に使用される独自技術)、Tokenization(AI専用のトークン)、およびIntelligent Commerce Connect(AP2、ACP、x402などの競合プロトコルと互換性を持つ)が含まれています。
論理は明確です。Visaはかつて決済ネットワークの入口を捉え、今度はエージェント時代も自らの軌道に組み込もうとしています。エージェント決済がカードネットワークを踏襲し、このパッケージがデフォルトオプションとなれば、Visaのシェアは確実に守られます。
Trulioo:SSLの仕組みをそのまま適用する
Truliooは、グローバルなKYC、KYBコンプライアンス分野のプレイヤーであり、現在はKYAへの検証スタックを拡張しています。
これはウェブサイトのSSL証明書のモデルを参考にしています。SSLでは、CA(証明機関)がウェブサイトにTLS証明書を発行し、ドメイン名のみを検証します。Truliooが提案するDPA(デジタルパスポート機関)は、開発者のKYBとユーザーのKYCを検証するために、エージェントにDAP(デジタルエージェントパスポート)を発行します。
DAPは静的な証明書ではありません。これは、毎回の取引で再検証される更新可能なアクティブなトークンです。委任が取り消されたり、異常が検出されると、DAPは直ちに無効になります。
これには5つのチェックポイントがあります:Provenance(どの開発者が作成したか)、User Binding(誰が承認したか)、Permission Scope(どのような操作が可能か)、Behavior Telemetry(現在何をしているか)、Risk Scoring(リスク評価)。
銀行とフィンテックは法的に個人および企業の身元を確認しなければなりません。エージェントが金融分野に進出しても、TruliooのKYC、KYBの立場はむしろより安定します。
Sumsub:異常を監視し、証明書を発行しない
Sumsubのアプローチは、前三者とは異なります。標準や証明書を発行するのではなく、エージェントが異常な取引をした際に、その背後にある人物を再確認します。
2015年からコンプライアンスビジネスを展開しており、その認証システムは現在、エージェントの異常行動を検出するために使用されています。プロセスは3ステップに分かれています。まず自動検出を行い、デバイスとエージェントの特徴をもとに人間と機械を区別します。次に、コンテキスト、金額、履歴データを組み合わせてリスクスコアを算出します。最後に、高リスク・大額・重要な変更時にのみLiveness認証を起動し、登録された本物の人物を再確認します。
Sumsubの4つの特徴は他のプレイヤーとは明確に異なります。同社は標準策定者ではなく、コンプライアンス運営者として出発しています。検証のタイミングは事前登録ではなく、リスク取引が発生したときです。検証方法はデータやトークンではなく、リアルな人物による再確認です。哲学は、エージェントを直接ブロックするのではなく、エージェントと責任者を結びつけることです。
他のプレイヤーは事前に一括認証を行いますが、Sumsubは発行後のリアルタイム検証を行っています。エージェントの権限が拡大するほど、異常検出が重要になります。詐欺手法は技術とともに進化しており、Sumsubのリアルタイムスタックに注目すべきです。
4. 監規が実施される前
FATF旅行規則のシナリオ
2019年にFATFの旅行規則が発表され、VASP業界は直ちに分裂した。KYC、AMLインフラコストに耐えられる企業は生き残り、耐えられない企業は閉鎖または規制が緩い地域へ移転した。CryptoBridge、Deribitもその波で強制的に調整を余儀なくされた。
規制は終わりではなく、分岐点である。
KYA、今回のシナリオも同じかもしれない。EU、シンガポール、米国はすでにリードを奪い合っている。
欧州連合のAI法案第12条は、高リスクAIシステムの操作ログに操作者の身元を含めることを明確に要求している。シンガポールは、身元管理をエージェントに拡張し、各エージェントに責任を負う主体を設けることを求めた、世界初の国家レベルのエージェントAIガバナンスフレームワークを発表した。米国NISTは、エージェントの身元管理を優先標準分野に指定している。
時間枠が狭まっています。
勝者单一にはなりません
標準争いの真の変数は技術ではなく、組み合わせである。主要プレイヤーはすでに協力と組み合わせの段階に入っている。次に、どの企業がどの merchant、支払いネットワーク、KYC カスタマーグループと連携するかが、各セグメントの帰属を決定する。
この市場には单一の勝者はいません。
オンチェーン自己取引の分野では、イーサリアムが圧倒的にリードする可能性が高い。支払い連携の取引シナリオでは、Visaが明確な優位性を持つ。規制を受けた金融業界では、TruliooのKYC、KYBの蓄積は代替が難しい。不正リスクを伴う取引シナリオでは、Sumsubのリアルタイム検出がより適している。
四社は直接の競合相手ではなく、それぞれ異なる領域を占めている。真の競争は、どのシーンがどの領域に含まれるかにある。
KYCは1989年から今日に至るまで、30年かけて世界の金融の識別層を完了させた。
このラウンドでは、リズムがはるかに速くなるように見えます。規制当局が動き出し、標準的なプレイヤーが陣地を固めています。スケールアップの機会の窓は、今後数年間である可能性があります。
最終的に生き残るのは、最も技術が優れているわけではなく、アイデンティティインフラに最も早く接続した者である。