AIエージェントの所有責任は信頼の土台です
2026年5月15日、ネゲヴ・ベン=グリオン大学、ノースイースタン大学、Amrita Vishwa Vidyapeethamの研究者たちは、エージェント帰属の問題を「観測されたAIエージェントのやり取りを、ホスティング事業者側の責任あるアカウントへ結びつけること」と定義しました。1
この表現だけを見ると、狭い問題に聞こえます。しかし、実際にはそうではありません。エージェントは、ユーザーにスパムを送り、システムをスクレイピングし、サポート担当者になりすまし、サイバー作業を実行し、ツールを呼び出し、費用を発生させ、インフラを変更できます。その一方で、被害を受けた側には挙動しか見えず、そのエージェントを展開した運用者を特定できないことがあります。1
AIエージェントの所有責任は、欠けていた信頼の基本要素です。自律的なすべての行動は、責任を負うアカウント、セッション、権限範囲、人間または組織の所有者、停止経路に結びついているべきです。ログは何が起きたかを示します。所有責任は、誰が説明責任を負えるかを示します。
要約
エージェントのセキュリティは、ツール権限、実行時の制御、最終回答の証拠だけでは止まれません。これらの制御は重要ですが、「稼働中のエージェントを誰が所有しているのか」という説明責任の問いには答えられません。
新しいエージェント帰属の論文は、カナリアを使って、観測された有害なやり取りを事業者側のセッションとアカウントへ結びつける、事業者仲介型のプロトコルを提案しています。1 その研究が対象にしているのは、不正利用への対応と法的な説明責任です。プロダクトチームには、自分たちのシステム内で日常的に使える、より小さな版が必要です。すべてのエージェント実行には、アカウント、セッション、権限範囲、ツール活動、確認経路、停止スイッチを結びつける所有責任の記録を持たせるべきです。
重要なポイント
エージェントプラットフォームチームへ: - 所有責任は請求処理の後付けではなく、実行時のフィールドとして扱いましょう。 - すべてのエージェント実行に、所有者、アカウント、セッション、ツール範囲、停止制御を付与してください。
セキュリティチームへ: - 所有責任のないログは、インシデント対応を遅らせます。ログのない所有責任は、証拠を弱くします。 - 行動の記録と、責任あるアカウントへたどる経路の両方を必須にしてください。
プロダクトチームへ: - 誰が、または何がユーザーの代わりに動いているのかを示してください。 - 委任された行動と、委任された説明責任を分けて扱いましょう。
ポリシーと信頼チームへ: - 帰属の仕組みは、安易な匿名解除ではなく、権限ある対応のために設計してください。 - 被害を止め、不正利用を確認し、適正手続きを尊重できるだけの情報を記録しましょう。
所有責任はプロフィール名ではありません
多くのプロダクトは、すでに何らかの形でアイデンティティを表示しています。チャット画面には、ワークスペース、ユーザーアバター、ボット名、APIキーのラベル、組織名などが表示されるかもしれません。こうした表示は人間が状況を把握する助けにはなりますが、所有責任の証明にはなりません。
エージェントの所有責任には、より厳密な契約が必要です。
| フィールド | 答える問い |
|---|---|
| アカウント | どの顧客、ワークスペース、事業者アカウントがその実行を負担したのか。 |
| セッション | どの具体的な実行がその行動を生んだのか。 |
| 運用者 | どの人間、サービス、ポリシーが作業を委任したのか。 |
| 権限範囲 | エージェントはどのツール、キー、予算、リソースを使えたのか。 |
| 行動記録 | どのプロンプト、承認、ツール呼び出し、出力、ネットワーク判断が発生したのか。 |
| 停止経路 | 誰がその実行を一時停止、取り消し、制限、終了できるのか。 |
| 確認経路 | 苦情やアラートの後、誰が調査できるのか。 |
この一覧が運用寄りに見えるのは、所有責任そのものが運用上の問題だからです。エージェントが2,000件の不適切なメッセージを送ったり、サードパーティのエンドポイントを叩き続けたりしたとき、ラベルだけでは役に立ちません。対応チームが必要とするのは、セッション、アカウント、権限範囲、停止経路です。
エージェントキーにはリスク予算が必要ですでは、権限の側面を扱いました。キーは狭く、サーバー側で強制される能力だけを付与するべきです。所有責任が扱うのは説明責任の側面です。その権限の使用すべてが、責任ある記録へ戻れるようにする必要があります。
帰属論文が加えたもの
この論文は、エージェント運用者ならすぐに認識できる空白を形式化しています。被害者にはエージェントの挙動が見えます。事業者にはモデル呼び出しとアカウントログが見えます。しかし、どちらか一方だけでは両方の視点を見られません。1
提案されたプロトコルは、カナリアによってその2つの視点をつなぎます。権限を持つ当事者が、疑わしいエージェントが取り込みそうなコンテンツに目印を挿入します。エージェントがそのコンテンツを事業者ホストのモデル呼び出しへ渡した場合、事業者は狭い時間枠のセッションログを検索し、カナリアを見つけ、セッションを復元し、そのセッションをアカウントへ結びつけられます。1
論文では、扱いやすいケースと難しいケースが分けられています。
| 状況 | 実用的なカナリアの形 | 機能する理由 |
|---|---|---|
| 非敵対的な誤用 | 語彙上の目印、識別子、一意の文字列 | エージェントがフィルタリングせずにコンテンツをモデルへ渡すため。 |
| 敵対的な不正利用 | 有用性を持つ語彙的または意味的カナリア | カナリアを取り除くと、エージェントに必要なコンテンツも失われるため。 |
| 事業者の対応 | 狭い時間枠のログ検索 | 事業者は全履歴ではなく、挿入時刻付近のセッションを検索するため。 |
有用性を持つという考え方が重要です。詐欺エージェントには、標的の感情的な手がかりが必要かもしれません。Webエージェントには、表示されているページ内容が必要かもしれません。サイバーエージェントには、ファイル名や応答の成果物が必要かもしれません。運用者が過剰にフィルタリングすると、帰属の証拠と一緒に、エージェントの作業性能も落ちます。1
論文のサイバーエージェント実験は、そのトレードオフを具体的に示しています。カナリアを意識した敵対者が、作業に関連する成果物を抑制によって取り除いた場合、エージェントの解決率は51%から9%に下がりました。一方で、ファイル名と表示本文内の識別子は、それぞれ77%と70%の帰属証拠を維持しました。敵対的な意味カナリアのトラックでは、意味的カナリアが少なくとも98%の真陽性率に達しました。1
これらの数字をプロダクトマーケティングに使うべきではありません。論文が検証しているのは、特定のエージェント、ラッパー、カナリア群です。それでも教訓は残ります。帰属は、エージェントが実際に必要とするコンテンツに信号を載せたとき、最もよく機能します。
ログは必要ですが、それだけでは足りません
OpenAIのCodex安全性記事は、成熟した制御の形を説明しています。境界づけられた実行、承認、管理されたネットワークポリシー、認証情報の保存、ルール、管理された設定、エージェントネイティブなテレメトリです。2 テレメトリには、ユーザープロンプト、承認判断、ツール実行結果、MCPサーバー利用、ネットワークプロキシの許可または拒否イベントに関するOpenTelemetry記録が含まれます。2
OpenAIはまた、Codexログを使って、不審なエンドポイントアラートの周辺にある元の依頼、ツール活動、承認判断、ツール結果、ネットワークポリシー判断を確認するセキュリティトリアージの流れも説明しています。2
この証拠は必要です。それでも所有責任が必要です。
ツールの記録は、次のようなことを言えます。
| 記録上の証拠 | 欠けている所有責任の問い |
|---|---|
| エージェントがシェルツールを呼び出した | どのアカウントがその実行を承認したのか。 |
| エージェントがネットワークブロックに当たった | どのポリシー所有者がそのブロックを確認できるのか。 |
| エージェントが承認を要求した | 誰が承認、拒否、または承認を委任したのか。 |
| エージェントがMCPサーバーを使った | どのワークスペースがそのサーバーを設定したのか。 |
| エージェントが出力を生成した | どの運用者がリリース責任を引き受けるのか。 |
エージェント実行記録は実行時の契約ですでは、記録が経路を証明すると論じました。所有責任は、その経路の背後にいる責任ある当事者を証明します。強いシステムには、セッション単位で結合された両方の記録が必要です。
Codexが、この問題がもはや理論ではないことを示しています
OpenAIの5月14日のCodex発表では、週あたり400万人以上がCodexを使っていると述べられています。また、ユーザーがスマートフォンから出力を確認し、コマンドを承認し、モデルを変更し、作業を開始し、スクリーンショット、ターミナル出力、diff、テスト結果、承認を追えるモバイルワークフローも説明されています。3 同じ発表では、Remote SSHが一般提供になり、Codexがリモートマシンや管理環境内でスレッドを実行できるようになったとも述べられています。3
このプロダクト形状では、エージェント作業がデバイス、マシン、スレッド、承認、認証情報、ローカルツールをまたいで広がります。1つのエージェント実行に、ノートPC、スマートフォンでの承認、リモートホスト、プロジェクト、プラグイン、ブラウザー、シェル、バージョン管理操作が関わることもあります。
所有責任の記録は、実行と一緒に移動しなければなりません。そうでなければ、システムは「どのコマンドが実行されたか」には答えられても、「そのコマンドが実行された時点で誰がその実行を所有していたのか」を失います。
Codex Hooksがローカル実行基盤を現実にしますでは、フック、承認、Git管理、証拠、審美眼を、エージェント作業を囲む運用層として位置づけました。所有責任も同じ層に属します。フックは危険な行動をブロックできます。記録は完了した行動を説明できます。所有責任は、その実行を、両方の結果について説明できるアカウントと運用者へ結びつけます。
実行時の所有責任契約
すべての内部タスクに完全なカナリア帰属プロトコルが必要なわけではありません。必要なのは、何かが起きる前から帰属を日常化する、ファーストパーティの所有責任契約です。
まず、エージェント実行ごとに1つの記録を持たせます。
| 所有責任記録のフィールド | 最低限のふるまい |
|---|---|
run_id |
エージェントのセッションまたはタスクの安定したID。 |
account_id |
その実行を所有する顧客、ワークスペース、テナント、組織。 |
operator_id |
実行を開始した人間、サービス、スケジュールジョブ、ポリシー。 |
delegation_source |
UIクリック、API呼び出し、スケジュール済みルール、モバイル承認、自動化トークン。 |
authority_bundle |
ツール、キー、スコープ、予算、書き込み可能なルート、ネットワークポリシー、データ領域。 |
approval_events |
誰が、何を、いつ、どのポリシーの下で承認したのか。 |
trace_pointer |
プロンプト、ツール呼び出し、出力、エラー、ネットワーク判断へのリンク。 |
stop_controls |
一時停止、取り消し、制限、隔離、終了の制御。 |
review_owner |
不正利用、安全性、セキュリティ、品質確認を受けるチームまたはキュー。 |
retention_policy |
記録を利用可能にする期間と、アクセスできる人。 |
この記録は、チャットの会話履歴より下、低レベルのインフラログより上に置くべきです。プロダクトサポートが使えます。セキュリティが使えます。コンプライアンスが使えます。エンジニアリングもロールバック時に使えます。
フィールド名そのものよりも、不変条件が重要です。責任ある実行記録のないエージェント行動を許さないことです。
所有責任にはプライバシー境界が必要です
帰属は、全員の身元を初期状態で明かす許可だとチームが扱ってしまうと、乱用につながります。所有責任の論文はこのリスクを直接指摘し、権限があり監査可能な主体、ポリシー上の立場、法的手続きを前提にプロトコルを構成しています。1
プロダクトチームも、その抑制を取り入れるべきです。
| 境界 | プロダクト上のルール |
|---|---|
| アクセス | 権限を持つレビュアーだけが所有者記録を確認できる。 |
| 目的 | 不正利用、安全性、セキュリティ、サポート、コンプライアンス、インシデント対応に限定する。 |
| 開示 | 外部開示には、ポリシー、手続き、または法的根拠を必要とする。 |
| 最小化 | 被害を止め実行を確認するのに十分な情報を保存し、すべての私的詳細を永遠に保存しない。 |
| 監査 | すべての所有責任の照会と、すべての開示をログに残す。 |
所有責任を安易な監視にしてはいけません。強い帰属は、被害者、プラットフォーム、事業者、運用者に対応経路を与えます。弱いガバナンスは、同じ基本要素を別の信頼問題に変えてしまいます。
設計原則は単純です。すべてのエージェントをシステムに対して説明可能にし、すべての所有責任の照会をポリシーに対して説明可能にすることです。
所有責任は既存のエージェント制御のどこに入るのか
所有責任は、他のスタックを置き換えるものではありません。
OpenAIのAgents SDK発表も、同じ層状の形を示しています。SDKは、制御されたワークスペース、ファイルとツールの検査、MCP、スキル、AGENTS.md、シェル、パッチ適用、サンドボックス実行、マニフェストベースのワークスペースをエージェントに提供します。4 AgentTrustは補完的なセキュリティ論点を提示しています。ツール呼び出しを実行前に検査し、許可、警告、ブロック、確認といった構造化された判定を返すというものです。5
これらのシステムは、エージェントが次に何をできるかを決めます。所有責任は、その実行について誰が説明するのかを決めます。
| 制御 | 役割 | 所有責任が加えるもの |
|---|---|---|
| 範囲限定キー | エージェントができることを制限する | どのアカウントと運用者がその範囲を付与したのか |
| 実行時フック | 危険な行動を差し止める | どの実行がフックを発火させたのか |
| 承認基準 | 人間の判断を加える | 誰がどの権限拡張を承認したのか |
| 実行記録 | 何が起きたかを示す | 誰がその記録を所有し、誰が対応できるのか |
| 確認パケット | 証拠をまとめる | どの所有者が結果を受け入れるのか |
| モデルツール | 型付きの推定を生成する | どのシステムがモデル権限を委任したのか |
AIエージェントはモデルを呼び出すべきですでは、エージェントは推定をでっち上げるのではなく、訓練済みモデルを呼び出すべきだと論じました。所有責任は、同じ規律を権限へ広げます。その行動が、人間のクリック、エージェントセッション、モデルツール、スケジュール済み自動化、委任されたポリシーのどれに由来するのかを、システムは把握しているべきです。
この区別はユーザーを守ります。ユーザーは、ある行動が自分によるものなのか、自分のアカウントの下で動くアシスタントによるものなのか、組織ポリシーによるものなのか、侵害された自動化によるものなのかを推測させられるべきではありません。
エージェントには監督のための表示面が必要ですでは、この問題のユーザー向け側面を扱いました。所有責任は、その表示面の下にある記録を提供します。確認パケットが新しい最終回答ですでは、完了時の成果物を扱いました。所有責任は、その成果物を受け入れ、拒否し、取り消せる当事者を提供します。
判断基準
他人や外部システムに影響を与えられるエージェントを展開する前に、1つだけ問いましょう。
明日このエージェントについて苦情が来たとき、その実行、アカウント、権限範囲、承認イベント、そして停止できる人またはチームを特定できますか。
答えがいいえなら、そのエージェントは本番準備ができていません。
プロダクトには、すでにログがあるかもしれません。権限もあるかもしれません。モデルに行儀よく振る舞うよう指示するプロンプトもあるかもしれません。しかし、それらが1つの説明責任ある記録につながるまでは、所有責任とは言えません。
エージェントの所有責任は、リクエストID、監査ログ、APIキーと同じくらい当たり前になるべきです。この作業は官僚的に聞こえるかもしれません。しかし、代替案はもっと悪いものです。誰もその行動について説明できないまま、自律システムが動けてしまうことです。
FAQ
AIエージェントの所有責任とは何ですか。
AIエージェントの所有責任とは、エージェントの行動を、その実行に責任を持つアカウント、セッション、運用者、権限範囲、記録、停止経路へ結びつける実行時の記録です。
エージェントの所有責任とエージェント帰属はどう違いますか。
エージェントの所有責任は、ファーストパーティのプロダクト契約です。システムは、実行前と実行中に所有責任を記録します。エージェント帰属は、より難しい事後問題を解きます。影響を受けた側が所有者をまだ知らないとき、観測された有害な挙動を責任ある事業者アカウントへ結びつける問題です。1
ログだけではなぜ不十分なのですか。
ログは、コマンド、ツール呼び出し、承認、ネットワーク判断を示せます。しかし、誰が実行を委任したのか、誰が権限範囲を所有していたのか、誰がエージェントを止めたり確認したりできるのかに答えられなければ、ログだけでは足りません。
事業者は、求められたら誰にでもエージェント所有者を明かすべきですか。
いいえ。所有責任の照会には、権限あるアクセス、ポリシー上の立場、監査が必要です。外部開示には適切な手続きが必要です。帰属が信頼を守るのは、その照会経路自体にガバナンスがある場合だけです。1
本番環境で最低限必要なものは何ですか。
外部システムに影響を与えられるすべてのエージェント実行には、実行ID、アカウントID、運用者ID、権限バンドル、承認記録、記録へのポインター、停止制御、確認責任者、保持ポリシーが必要です。
参考文献
-
Ruben Chocron、Doron Jonathan Ben Chayim、Eyal Lenga、Gilad Gressel、Alina Oprea、Yisroel Mirsky、“このエージェントの所有者は誰か。AIエージェントを所有者まで追跡する”、arXiv:2605.16035v1、2026年5月15日投稿。エージェント帰属の定義、事業者ホスト型LLM脅威モデル、カナリアベースの帰属プロトコル、語彙的・意味的カナリア分類、有用性と回避のトレードオフ、サイバーエージェント評価の数値、境界付き時間枠検索の性質、限界、権限があり監査可能な主体をめぐる倫理的整理の出典。 ↩↩↩↩↩↩↩↩↩↩
-
OpenAI、“OpenAIでCodexを安全に実行する”、OpenAI、2026年5月8日。Codexのサンドボックス化、承認、管理されたネットワークポリシー、アイデンティティと認証情報の制御、管理された設定、OpenTelemetryイベント、Compliance Platformログ、OpenAIがセキュリティトリアージでCodexログを使う方法の出典。 ↩↩↩
-
OpenAI、“どこからでもCodexで作業する”、OpenAI、2026年5月14日。Codexの週次利用、モバイル制御、リモートマシン接続、スレッドと承認をまたぐライブ状態、スクリーンショット、ターミナル出力、diff、テスト結果、Remote SSHの一般提供、フックの一般提供、プログラム的アクセストークンの出典。 ↩↩
-
OpenAI、“Agents SDKの次の進化”、OpenAI、2026年4月15日。Agents SDKのモデルネイティブなエージェントループ、制御されたワークスペース、ファイルとツールの検査、MCP、スキル、AGENTS.md、シェル、apply_patch、ネイティブなサンドボックス実行、マニフェスト抽象化、エージェントオーケストレーションと計算環境の分離の出典。 ↩
-
Chenglin Yang、“AgentTrust:AIエージェントのツール利用に対する実行時安全性評価と差し止め”、arXiv:2605.04785v1、2026年5月6日投稿。実行前のツール呼び出し差し止め、許可・警告・ブロック・確認の判定、シェル難読化解除、RiskChain検出、ベンチマーク範囲、MCPサーバー統合の出典。 ↩