結論:AP2の承認設計は堅い。ただし初期設定が甘いと意味がない

結論から言う。2026年5月19日のGoogle I/O 2026で発表されたGemini Sparkは、Googleクラウド上で24時間動くAIエージェントであり、買い物・予約・メール返信を自律的にこなす。決済にはAgent Payments Protocol(AP2)という二重承認の仕組みが組み込まれており、ユーザーの明示的な承認なしに支払いは完了しない。

仕様上は堅い設計だ。だが問題は、初期設定をそのまま使う人が大半だという現実である。SIer時代に何度も見てきた「デフォルトのまま本番運用」と同じ構造が、ここにもある。

Gemini Sparkとは何か——24時間クラウドで動くAIエージェント

Gemini SparkはGoogle AI Ultra加入者向けの常駐型AIエージェントだ。料金は米国で月額100ドル(5x)または200ドル(20x)、日本版Google AI Ultraは月額1万4,500円(5x)と月額3万2,000円(20x)の2プランが公開されている(2026年5月20日時点)。

従来のGeminiは「ユーザーが質問→AIが回答」の一問一答型だった。Sparkはそこから大きく踏み込んでいる。Google Cloud上の専用仮想マシンで常時稼働し、Gmail・Googleカレンダー・Googleドキュメントに加えてOpenTable・Instacart・Canvaなど30以上の外部サービスとMCP(Model Context Protocol)経由で連携する。ユーザーのデバイスが電源オフでも止まらない。

具体的にできることは、クレジットカード明細の不審利用監視、学校からの連絡メールの自動仕分け、レストラン予約、Instacartでの食料品注文、さらには受信メールへの返信下書き生成まで多岐にわたる。

提供は2026年5月時点で米国のみ。EU/UKはAI Act準拠の関係でQ3以降の見込みであり、日本への展開時期は未発表だ。ただし、過去のGemini機能ロールアウトのパターン(米国→3〜6ヶ月で主要国拡大)を踏まえれば、2026年内に日本でも利用可能になると読むのが妥当だろう。

AP2の「二重承認フロー」——Intent MandateとCart Mandate

SparkのAI自動購入を支えるのがAP2(Agent Payments Protocol)だ。Googleが2026年1月にFIDO Allianceへ寄贈したオープンプロトコルで、Coinbaseを含む60以上の組織が策定に参加している。

AP2の承認は2段階の暗号署名で成り立つ。

第1段階:Intent Mandate(意図の宣言)。ユーザーが「100ドル以内のランニングシューズを買ってほしい」と指示を出す。この指示内容——予算上限、対象カテゴリ、指定ブランド——が暗号署名されて記録される。つまり「何を、いくらまで、どの店で」という条件がここで確定する。

第2段階:Cart Mandate(購入の最終承認)。SparkがIntent Mandateの条件に合う商品を見つけると、具体的な商品名・価格・送料をユーザーに提示する。ユーザーがGeminiアプリでタップ、音声で「はい」、またはデスクトップ通知で承認して、はじめて決済が通る。

加えて、取引ごとの承認要求、1日あたりの上限額、利用可能な店舗のホワイトリスト制限という3つの安全装置が設けられている。筆者がSIer時代に設計していた基幹システムの稟議フロー——申請者が起票し、承認者が内容を検証し、決裁者が最終実行する——と構造は同じだ。仕様としては正しい。

それでも残る3つのリスク

承認フローの設計が堅くても、リスクはゼロにならない。筆者が注視しているのは以下の3点である。

リスク1:エージェント乗っ取りによる不正購入

Oscilar社の分析(2026年5月)が指摘する最大の懸念が「エージェントそのものの乗っ取り」だ。盗んだクレジットカード情報をエージェントのウォレットに登録し、botに大量注文をさせるシナリオが想定されている。従来の不正検知——取引速度チェック、ステップアップ認証、手動レビュー——は人間の購買速度を前提に設計されており、AIエージェントの高速取引には対応しきれない。

リスク2:責任の所在が未整理

エージェントが条件を誤解釈して意図しない商品を購入した場合、責任はユーザー・AI事業者・加盟店・決済会社のどこにあるのか。AP2はIntent Mandate → Cart Mandateの署名チェーンで「誰がいつ何を承認したか」の監査証跡(audit trail)を残す。だが、この責任連鎖(person → agent → merchant → payments infrastructure)の法的整理は各国で未着手というのが現状だ。

リスク3:購買意図までログに残るプライバシー問題

AP2はすべての取引意図と購買履歴を暗号化して記録する。監査性としては優れるが、裏を返せば「何を買おうとしたか」まで外部にログとして残る。GoogleのPersonal Intelligence機能は無効化可能とされているものの、GoogleプライバシーポリシーのAP2固有のデータ利用範囲に関する記述は2026年5月時点で限定的だ。

SIer時代に「ログは必ず残せ」が鉄則だった筆者としては、ログの存在自体は歓迎する。ただし「ログが多すぎて誰に見られるかわからない」という逆の問題が、ここでは浮上している。

日本展開前にやっておくべき3つの準備

Sparkが日本で使えるようになってから慌てるのでは遅い。今のうちに確認しておくべき項目を整理した。

1. Googleアカウントのセキュリティを2段階認証+パスキーまで引き上げる。SparkはGoogleアカウントに紐づいて動く。アカウントが乗っ取られれば承認フローごと無力化される。Googleセキュリティ診断で現状を確認しておくべきだ。

2. Google Payに登録しているカードを棚卸しする。AP2はGoogle Payの決済基盤を利用する。使っていない古いカード、上限額の高いカードが紐づいたまま放置されていないか。筆者は月1回のセキュリティ棚卸しルーチンにこのチェックを加えた。

3.「デフォルトでオン」の初期設定に備える。Spark提供開始時にはPersonal Intelligenceの有効化を促されるはずだ。筆者がGmail・Instagram・XのAI学習デフォルト設定を横断調査した際にも確認した通り、主要サービスは「オプトアウト方式(拒否しなければ同意)」を採用する傾向が強い。設定画面を開いて初期値を確認するのは、Spark導入時の最初の作業と考えておくべきである。

FAQ

Gemini Sparkは日本でいつ使える?

2026年5月時点で日本での提供時期は未発表だ。ただしGoogle AI Ultraの料金プラン(月額1万4,500円〜)は日本円で既に公開されており、過去のGemini機能展開パターン(米国→3〜6ヶ月で主要国)から2026年内の提供開始が見込まれる。

Gemini Sparkが勝手にお金を使うことはある?

仕様上はない。AP2ではすべての購入にIntent Mandate(条件設定)とCart Mandate(最終承認)の2段階承認が必要であり、ユーザーの明示的な操作——アプリでのタップ、音声承認、デスクトップ通知への応答——なしに決済は完了しない。ただし、上限額設定や店舗制限を甘く設定していると、意図しない高額購入のリスクは残る。

Gemini Sparkを使うには月額いくらかかる?

Google AI Ultraへの加入が必要だ。米国では月額100ドル(5x)または200ドル(20x)、日本では月額1万4,500円(5x)または月額3万2,000円(20x)。Sparkの利用にはAI Ultra 5x以上が前提となる。

OpenAI Operatorとの違いは?

OpenAI Operatorはブラウザベースの自動操作であり、個人アカウントとは分離されたサンドボックス内で動作する。Gemini SparkはGoogleアカウントと深く統合されたクラウド常駐型エージェントであり、Gmail・カレンダー・Google Payを横断して自律的に動く。統合の深さとリスクの大きさが異なる。

参考文献