アイデンティティ、アクセス、決済の3領域の技術標準を推進するSecure Technology Alliance(STA)が主催する「Identity & Payments Summit」が2026年も開催された。NRIセキュアは今回が初参加となり、2名体制で各セッションへの参加やブース視察を行った。本稿では、著者が2026年3月2日(月)~4日(水)に米国テキサス州ヒューストンで開催されたサミットに参加した際の現地の様子や、アイデンティティと決済の融合(コンバージェンス)に関する最新トレンドについてのレポートをお届けする。
Identity & Payments Summitの概要
Identity & Payments Summitは、セキュアな技術の実装を推進する非営利団体であるSecure Technology Alliance(STA)が、アイデンティティ、アクセス、決済の3つのコミュニティを一つに集約して開催する年次イベントである。本サミットには、VisaやMastercardなどの決済ネットワーク、JPMorgan ChaseやBank of Americaといった金融機関、さらにはApple、Google、LinkedIn、Airbnbといったプラットフォーマーまで、200社を超える世界のトップ企業からリーダーが参加・講演を行っていた。
主催のSTAは、かつてのスマートカードや米国におけるEMV移行を主導してきた30年の歴史を持ち、現在は決済専門の「U.S.Payments Forum」とアイデンティティ専門の「Identity and Access Forum」を傘下に置くことで、これら両分野の「収束(コンバージェンス)」を議論できる世界で唯一の組織となっている。
今回のサミットは「Frictionless Futures(摩擦のない未来)—決済、アイデンティティ、トラストの融合」をメインテーマに掲げ、200社以上の主要企業からリーダーやイノベーターが集結し、決済、アイデンティティ、エマージング・テクノロジーの3トラックに分かれて30以上のセッションが展開された。会場では、モバイル運転免許証(mDL)の最新ショーケースや、AIを用いた不正対策、さらには量子コンピューティングがもたらす脅威への備えなど、デジタルトラストの最前線が多角的に議論された。
サミット全体の主だったテーマは「決済とアイデンティティの不可逆的な融合」とそれによる「摩擦のない未来(Frictionless Futures)の実現」であり、技術トレンドとしては詐欺の手口を高度化させる一方で防御側の強力な「能力増幅器(フォースマルチプライヤー)」ともなるAIへの言及が極めて多く見受けられた。以降では、当該テーマに関するセッション内容と考察を紹介する。
左:セッション会場 右:出展ブース入口と参加企業 
参加セッションレポート①:mDLが埋める15年の空白
―決済とデジタルIDの「ワンタップ」への統合―
本セッションでは、過去15年以上にわたって決済領域が急速なデジタル化と利便性の向上を遂げた一方で、アイデンティティ(身元証明)が物理的なプラスチックカードの枠に留まっていたという時間的・技術的なギャップを、mDLがどのように埋めようとしているのかが示された。
- ■「mDL」とは?
mDL(Mobile Driver's License)は単なる「運転免許証の券面を撮影した写真データ」ではない。それは、国際標準規格であるISO/IEC 18013-5に基づき、発行機関によって暗号学的に署名された高度なデジタル資格情報である。
mDLの仕組みは、発行機関(Issuing Authority)、所持者(Holder)、およびサービス提供者(Relying Party)の3つの柱で構成される。発行機関は物理的な免許証と同様の厳格な資格チェックを経てデジタル情報を発行し、所持者はそれをスマートフォンのモバイルウォレット(AppleやGoogleの「ウォレット」アプリ等)に安全に格納する。取引の際、サービス提供者は所持者の端末から提示されたデータを暗号学的に検証するが、この際、発行機関へ都度問い合わせる必要がない設計となっており、政府や第三者による「いつどこでIDを提示したか」という行動追跡を防止するプライバシー保護機能(非トラッキング型)を備えている点が最大の特徴である。
図 mDLの仕組み
プライバシーを劇的に変える「選択的開示(Selective Disclosure)」
mDLがもたらす革新的な機能として、選択的開示(Selective Disclosure)が挙げられる。従来の物理カードでは、年齢確認一つを行うにしても住所や詳細な生年月日といった不要な個人情報を全て提示する必要があった。これに対し、mDLでは「18歳以上(または21歳以上)であるか」という判定結果のみを選択的に提示することが可能である。これにより、データ最小化の原則を技術的に具現化し、ユーザーのプライバシーを保護しつつ安全な取引を実現できる。
現実社会での導入実例と商業的価値
現在、米国では21州以上でmDLが提供されており、人口の50%以上がこのデジタル資格情報にアクセス可能となっている。会場では、以下のような初期段階の導入事例が紹介された。
制限商品の自動販売機における年齢確認:
従来、米国での酒類購入には、運転免許証や(外国人であれば)常に原本を持ち歩く紛失リスクのあるパスポート等の物理的な身分証提示と、店員による目視確認が不可欠であった。最新の自販機を用いた事例では、ユーザーがモバイル端末を操作し、年齢のみを選択的に開示することで、物理カードを提示することなく店員不在で即座に購入を完結させている。
店舗受取の不正対策:
オンラインで購入した商品を店舗で受け取る際、既存の非接触リーダーを活用してID提示による本人確認と支払いを同一端末で実行し、なりすましや否認不正を防止する取り組み。
旅行・宿泊の自動化:
デジタルIDを「戦略的インフラ」へ
本セッションの最大の到達点は、現状の「ID提示で1回、決済で1回」という合計2回のタップ動作を、将来的には「ワンタップ」に集約するという方向性が提示されたことにある。IDが「あなたは誰か」だけでなく「あなたに何が許可されているか(資格性)」を証明し、それが決済と不可分に結びつくことで、安全で摩擦のないエコシステムが構築される。
日本においてもマイナンバーカードのスマホ搭載が進んでいるが、依然として「カードの券面入力」や「ICチップ読み取り」といった、物理カードの枠組みを前提とした運用が主流である。
本セッションで示された「ID提示と決済のワンタップ化」というビジョンは、単にカードをデジタル化することではなく、暗号学的に証明された「資格情報(アトリビュート)」を決済フローに直接組み込むという、信頼構造そのものの転換を意味している。日本企業は、デジタルIDを単にデジタル庁が主管する「行政手続きの道具」としてのみ捉えるのではなく、国が整備した高度な信頼基盤を、自社の顧客体験(UX)を劇的に向上させ、同時に不正損失を削減するための共通の信頼レイヤーとして再定義すべきであろう。官公庁が信頼の「発行者」としてインフラとしての道路を整備するならば、民間企業はその道路をいかに活用して「摩擦のない商取引」を実現するかという、依拠当事者(Relying Party)としての戦略性が問われているのである。
参加セッションレポート②:KYCからKYAへ、Agentic Commerceを支える新たな信頼枠組み
前章のレポート①では、mDLのような暗号学的デジタル資格情報によりID提示と決済を統合する体験は徐々に現実化しているが、本サミットの議論はそれを超えて、購買の主体そのものが変わる可能性にまで踏み込んでいた。すなわち、ユーザーが具体的な商品を指定するのではなく、「達成したいこと(Intent)」を与えるだけでAIエージェントが検索・比較・交渉・購買を自律的に遂行する「Agentic Commerce」の到来であり、著者はこの変化が決済・アイデンティティ管理・ガバナンスの枠組みに影響を与える契機になると判断している。
KYC(Know Your Customer)からKYA(Know Your Agent)への拡張
決済業界では長年、「あなたの顧客は誰か(KYC)」という問いを磨き続けてきた。しかし、自律的に動くソフトウェア(AIエージェント)を既存の人間向けフレームワークで管理することは困難である。そのため、エージェントを識別・認証・認可・監視するための新たなフレームワークである「KYA(Know Your Agent)」の構築が不可欠であると説かれた。
KYAフレームワークを構成する主要な要素として、以下のプロセスが提示された。
-
識別(Identification):
エージェントに永続的な暗号識別子を割り当て、信頼できる発行機関(Issuing Authority)に紐付けることで、そのリクエストの出自を明確にする。
-
認証(Authentication):
デジタル署名やセキュアなアテステーション(証明)を用いることで、そのエージェントが正当な存在であることを検証する。
-
認可(Authorization):
人間からエージェントへ権限を委譲する際、「食料品の購入に500ドルまで使用できる」といった、具体的で構造化されたスコープ(範囲)と時間制限を設けた「能力トークン」を使用する設計が求められる。
-
継続的監視(Continuous Monitoring):
エージェント特有のリスクである「ハルシネーション(誤生成)」や、商業的インセンティブによる「偏向(バイアス)」に対処するため、全ての自律行動を検証可能な「監査ログ(不可変ログ)」として残し、説明責任の連鎖を実在の人間まで辿れるようにしなければならない。
図 KYAフレームワーク
Agentic Commerce と KYA の融合
Agentic CommerceにおけるKYAは、単なるセキュリティ管理ではなくエージェントエコシステム全体を支える「基盤インフラ」の役割を担う。
とりわけIntent駆動型取引プロトコル(利用者が設定した「どの商品をいくらで買うか」という具体的な目的や制約条件を、エージェントが構造化データとして加盟店へ正確に伝達するための共通標準)と能力トークン(「特定のタスク」や「金額上限」、「有効期限」といった委譲された権限の範囲を暗号学的に定義した証明書)は、エージェントによる安全な購買を実現する両輪であり、取引の安全性と権限制御を同時に成立させる。
さらにサミットで語られた最近の潮流ではExplainable Agents(説明可能なエージェント)が条件になりつつあるという。エージェントが購買後に意思決定の根拠を提示し、全ての自律的な行動を第三者が検証可能な「不可変な監査ログ」として記録する仕組みを整えることなど、透明性と説明責任の担保は、信頼を単なる主張ではなく実績として積み上げ、ユーザーが安心して使い続けるためのUXのコア要素に位置付けられるのである。
日本市場への示唆と実行ロードマップ
日本企業も諸外国同様、人間中心の厳格なKYC運用を続けているが、著者はこれを早期にKYAを含むハイブリッド運用へと進化させるべきだと提言する。具体的には、第一段階で現行KYCを維持しつつKYAをPoCレベルで導入し、エージェント識別や能力トークンの運用検証を行うこと。第二段階でIntent駆動プロトコルを限定的な商流に導入し、Explainable Agentsと監査ログの連携を試験すること。最終段階で、説明責任と法的責任分配を確立したうえで大規模展開に踏み切るという段階的アプローチが現実的である。著者は、これらを実行するには情報システム部門、セキュリティ部門、事業部門、法務が横断的に協働し、外部の標準化団体や規制当局とも対話を続けるガバナンス体制を早急に整備する必要があると強調したい。
結論として、Agentic Commerceは技術的な革新だけでなく、社会的なルールや責任のあり方を問い直す機会を提供するものであり、KYAはその中心的インフラであると著者は考える。技術標準の採用や能力トークンの実装に遅れた企業は、「リスクを恐れて正当な取引まで拒否してしまう売上の取りこぼし」と「大量のAI取引を処理するための膨大な手動審査コスト」という二重の経済的重荷を背負うことになり、低コスト・高効率な競合に対して構造的に不利な立場に置かれるだけでなく、透明性・責任配分の面で信頼を失うリスクも高まるため、早期の準備と実践的なPoCが不可欠である。以上を踏まえ、本セッションで提示された示唆は日本企業にとっても意識すべき課題であり、次期投資とガバナンス整備の優先順位を再検討する契機になるのではないだろうか。
