生成AIの進化は、私たちの働き方やビジネスの構造を急速に変えつつある。
AIはもはや、問いに答えるだけのツールではない。

近年、注目を集めているのが「AIエージェント（Agentic AI）」と呼ばれる存在だ。AIエージェントは、目的に応じて外部システムやAPIに接続し、他のAIやサービスと連携しながら、タスクを自律的に計画・実行する。人の指示を逐一待つことなく、業務を“進める主体”として振る舞う点が、従来の生成AIとの決定的な違いである。

この変化は、業務効率や利便性を飛躍的に高める一方で、企業のアイデンティティ管理に根本的な問いを突きつけている。
すなわち、「誰が行動したのか」「誰の意思で実行されたのか」という前提が、これまで以上に曖昧になるという問題だ。

例えば、人の代わりにAIエージェントが、取引先へ見積書を送付する、社内システムに申請を登録する、クラウド環境の設定を変更するといった操作を行った場合を考えてみたい。もしそのAIが誤って別の取引先に情報を送信したり、想定以上の権限でシステム設定を変更してしまったりした場合、その行為は「誰の許可」で行われ、「誰が責任を負う」ことになるのだろうか。

人であれば、アカウント、権限、責任の所在は比較的明確だ。しかしAIエージェントは、人に代わって行動する一方で、人そのものではない。この中間的な存在が業務プロセスに入り込むことで、従来のアイデンティティ管理やアクセス制御の考え方は、もはや十分とは言えなくなりつつある。

本稿では、AIエージェントとは何かを整理したうえで、その登場がもたらすアイデンティティ管理上の新たなリスクを明らかにし、企業や組織に求められる対応の方向性について考察する。

※なお、AIエージェントに関するアイデンティティ管理や統制の枠組みは、国際的にもまだ議論の途上にある。技術標準や法的責任の範囲について明確な合意は形成されておらず、本稿の内容は、現時点で観察されている議論や標準化動向をもとに整理したものである。今後の技術・制度・規制の進展により、求められる対応は変化していく可能性がある点に留意されたい。

引用元記事：https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/ai-agent-identity.html