OpenID Foundation FAPI WG 活動レポート (2025年9月)

執筆日: 2026-04-25（遡及執筆）

1. 概要

FAPI WG（Financial-grade API Working Group）は、金融グレードの高セキュリティ API プロファイルを策定する OpenID Foundation のワーキンググループである。2025年9月時点の共同議長は Nat Sakimura（NAT Consulting）、Anoop Saxena（Intuit）、Anthony Nadalin、Dave Tonge（Moneyhub）、Dima Postnikov の5名体制。主要成果物である FAPI 2.0 Security Profile と FAPI 2.0 Attacker Model は2025年2月19日に Final Specification として承認済みで、9月は Post-Final のメンテナンスフェーズにあたる。

2025年9月の FAPI WG は、Google が9月16日に発表した Agent Payments Protocol (AP2) の影響評価開始 が最大の話題となった月であった。Nat Sakimura が AP2 launch の翌日（9月17日）の Atlantic Call AOB で議題提起し、同日中に Issue #754: Agent Payments Protocol (AP2) Impacts to FAPI を Bitbucket Issue tracker に起票。Shannon Day が即日返信を寄せ、AP2 と FAPI 既存仕様の関係を巡る議論が始まった。並行して Joseph Heenan が Issue #755 で FAPI 2.0 SP の構造的整理問題（authorization code 60秒最大寿命と DPoP support 要件が誤った節に置かれている）を指摘し、Errata 作成への準備が動き出した。

ML 投稿数は9月の1カ月で 7通（うち6通は Atlantic Call リマインダーまたは AP2/Issue 関連、1通は Issue #755）と低めだが、各投稿が「Final 後の FAPI が新たな技術トレンド（AI エージェント決済）にどう対応するか」を巡る本質的な議論を含んでおり、量よりも質に特徴がある月であった。

2. 公開された仕様・ドラフト改訂

2025年9月中に openid.net/specs/ 上で公開された FAPI 系の新規ドラフト／改訂ドラフトは確認できなかった。FAPI 2.0 Security Profile（fapi-2_0-security-02）と FAPI 2.0 Attacker Model（fapi-2_0-attacker-model-02）は2025年2月19日付の Final Specification の状態を継続している。

9月中に新たに起票された主要 Issue は以下の2件で、いずれも10月以降の Errata 作成・ISO 取り込み議論に連なる起点となった:

Issue #754: Agent Payments Protocol (AP2) Impacts to FAPI

• 起票者: Nat Sakimura
• 起票日: 2025年9月17日
• 起点: Google が 9月16日に AP2 (Agent Payments Protocol) を発表。Intuit / Mastercard / Okta など60社超が初期参画
• AP2 の核心: AI エージェントが代理で決済を実行する際の認可・説明責任・監査証跡を、暗号署名された "Mandates"（命令書）と非否認可能な監査ログで担保するプロトコル。OAuth と A2A プロトコル（Agent2Agent）を基盤とし、Credential Provider 設定で OAuth2 が利用される
• FAPI WG としての関心: AP2 が高セキュリティ API 群（特にカード決済・Open Banking）と接続される場合、FAPI 2.0 SP/AM のセキュリティ前提（クライアント認証強度、attacker model）と AP2 の前提が両立するかを WG として追跡する必要がある

Issue #755: Some FAPI2SP clauses about the authorization code flow are in the wrong section

• 起票者: Joseph Heenan（Authlete／FAPI 2.0 conformance 開発者）
• 起票日: 2025年9月24日
• 問題: FAPI 2.0 SP の以下2つの規範要件が、authorization endpoint section ではなく general requirements section に誤って配置されている
  • Authorization code の60秒最大寿命: authorization codes with a maximum lifetime of 60 seconds
  • DPoP support 要件: shall support 'Authorization Code Binding to DPoP Key' (as required by Section 10.1 of RFC9449)
• 背景: Issue #752（tailored FAPI 2.0 conformance profiles）の議論中に派生した論点だが、独立した tracking issue として明示化された。Errata 作成時に節構成を整理する必要がある

3. ミーティングと議論

FAPI WG は Atlantic Call（水曜 14:00 UTC、9月時点では米東部時間 10:00 EDT = 英時間 15:00 BST に対応）を定例として開催する。9月の3回はすべて開催されたことが ML のリマインダーから確認できる。議事録は Bitbucket Cloud Wiki（FAPI_Meeting_Notes_2025）にホストされているが、Bitbucket は SPA で WebFetch では本文取得不可のため、本節は ML 上のリマインダーおよび後日 ML に流れた議題派生メールから再構成している。

日付 (2025年)	コール	開催状況	ML 上の根拠
9月10日（水）	Atlantic Call	開催（13:24 UTC リマインダー、14:00 UTC 開始）	Nat Sakimura, 003365
9月17日（水）	Atlantic Call	開催（12:39 UTC リマインダー、14:00 UTC 開始）	Nat Sakimura, 003367
9月24日（水）	Atlantic Call	開催（13:45 UTC リマインダー、14:00 UTC 開始）	Nat Sakimura, 003371

3回とも共通アジェンダで実施された:

1. Note Well — IPR・反トラスト方針の確認
2. Roll Call（Dave / Nat 担当）
3. Adoption of Agenda（Dave / Nat 担当）
4. Events（Mike Leszcz 担当）— OIDF イベント・カンファレンス情報共有
5. External Orgs & Liaisons（Mike Leszcz 担当）— ISO/IEC SC 27 / SC 44、IETF、CDR 等の外部標準化との連携状況
6. PRs（Dave Tonge 担当）— 進行中の PR レビュー
7. Issues（Dave Tonge 担当）— Issue tracker の進行確認
8. AOB（Any Other Business）（Nat Sakimura 担当）— 自由討議

9月10日 Atlantic Call

ML 上には議事録共有・派生スレッドが残っていない（Bitbucket 議事録ページは SPA で外部取得不可）。9月10日週は Issue 起票・派生議論ともに ML 上で確認できないため、定常的な PR/Issue レビューに終始した可能性が高い。

9月17日 Atlantic Call — AP2 議題化

9月17日の Atlantic Call は、Nat Sakimura が「ISO SC27 と SC44 が今週同時進行で ill-prepared」とリマインダーで述べたとおり、議長個人としては ISO 国際標準化作業との掛け持ちで多忙な日であった。コール開始の約90分前（12:34 UTC）に Nat が Google AP2 launch（9月16日）の概要 を ML に共有（003366）し、AP2 を AOB の俎上に上げる準備を整えた。コール後（14:49 UTC）に Issue #754 の起票通知が ML に流れ、その18分後（15:07 UTC）に Shannon Day から返信があった（§4.3 で詳述）。

Nat が ML 投稿で示した AP2 の主要特徴10項目:

1. 2025年9月16日 Google launch、60社超が参画（Intuit, Mastercard, Okta 等）
2. Agent2Agent (A2A) プロトコルおよび Model Context Protocol (MCP) の拡張
3. Payment-agnostic フレームワーク（クレジット、デビット、銀行送金、暗号資産まで対応）
4. AI イニシエートのトランザクション向けに認可・説明責任の課題を扱う
5. 信頼メカニズムとして "Mandates"（暗号署名された改ざん不可な契約書）を採用
6. Intent から決済完了までの非否認可能な監査証跡を生成
7. Coinbase との A2A x402 拡張 で暗号通貨決済対応を開発中
8. OAuth2 が Credential Provider 設定で支払手段アクセス保護に利用される
9. 公開仕様・GitHub リポジトリ・技術ドキュメントが揃っている
10. Google Pay のブログ告知が起点

これらが FAPI 2.0 SP/AM の前提（OAuth2 + DPoP + mTLS + PAR + JAR 等の組み合わせによるクライアント認証強度）とどう整合するかが、WG の今後の検討課題として位置付けられた。

9月24日 Atlantic Call

リマインダー本文に「We will start with the usual agenda. There was the previous discussion thread regarding Issue #755」とあり（003371）、当日のコールでは Issue #755 の構造的整理問題（authorization code 60秒寿命 / DPoP 要件の節配置）が議論されたとみられる。Joseph Heenan が同日 09:54 UTC に Issue #755 を起票・ML に共有しており（003370）、コール開始（13:45 UTC リマインダー → 14:00 UTC 開始）の数時間前には WG メンバー間で論点共有が成立していた。

4. メーリングリストの主要スレッド

openid-specs-fapi ML（アーカイブ）は月次インデックス形式。2025年9月の投稿は7通。Atlantic Call リマインダー3通を除いた4通すべてが技術論点を伴う実質的なスレッドである。

4.1 Google announced "Powering AI commerce with the new Agent Payments Protocol (AP2)" — 2025年9月17日（Nat Sakimura）

Sep 16 の Google 発表を翌日に WG メンバーへ共有した最初のメッセージ。技術仕様の概要、参画企業、A2A x402 拡張による暗号通貨決済対応など、AP2 の全体像を10項目で整理。FAPI WG が「AI エージェント主導の決済」という新しい応用領域を意識し始める出発点。

4.2 Issue #754: Agent Payments Protocol (AP2) Impacts to FAPI — 2025年9月17日（Nat Sakimura）

Bitbucket Issue #754 の ML 通知。本文には4.1 と同じ AP2 の10項目が再掲されており、「Following the discussion at the AOB segment of the Sep 17 call」と、Atlantic Call AOB での議論を起点に Issue 化したことが明示されている。FAPI WG として AP2 と FAPI 仕様の交差点を継続追跡することがコミットされた瞬間の記録。

4.3 Issue #754: Agent Payments Protocol (AP2) Impacts to FAPI（返信） — 2025年9月17日（Shannon Day）

4.2 への即日返信（同日 15:07 UTC、起票通知の18分後）。AP2 を「戦略的な open and collaborative プロトコル」と位置付ける一方、以下の懸念点を列挙:

• 既存決済プラットフォームとの競合: Stripe や PayPal 等との競合関係
• AI エージェントが誤りを犯した際の責任所在の未解決問題
• Google の支配的地位: 「collaborative model」を標榜するも、Google 主導であることの構造的問題

引用: the open, shared nature of AP2 helps prevent the payments ecosystem from fragmenting into competing, proprietary systems、結論として「success depends on addressing liability, compliance, and stakeholder conflicts」とまとめる。FAPI WG の議論にエコシステム視点（標準間競争、liability allocation）を持ち込んだ発言として記録に値する。

4.4 Issue #755: Some FAPI2SP clauses about the authorization code flow are in the wrong section — 2025年9月24日（Joseph Heenan）

Bitbucket Issue #755 の ML 通知。FAPI 2.0 SP の以下2つの規範要件が general requirements ではなく authorization endpoint 節に置かれるべきと指摘:

"authorization codes with a maximum lifetime of 60 seconds" "shall support 'Authorization Code Binding to DPoP Key' (as required by Section 10.1 of RFC9449)" （Issue #755 ML 投稿より）

Issue #752（tailored FAPI 2.0 conformance profiles）の議論中に派生した問題で、Conformance テスト実装者の視点から仕様文書の構造的不整合を可視化したもの。Errata 作成時の構造再編集の必要性を示す。

5. GitHub 上の議論

FAPI WG は GitHub 上にリポジトリを保有していない。github.com/openid/fapi は HTTP 404 を返す（2026年4月時点でも未作成）。FAPI WG の正式リポジトリは bitbucket.org/openid/fapi であり、Issue / PR 議論はそちらで行われている。

ただし Bitbucket Cloud は SPA（JavaScript レンダリング）で HTML を生成するため、WebFetch 経由では Issue / Wiki / Pull Request の本文を取得できない。本稿では §2・§3・§4 で示したとおり、ML 上の Issue 起票通知メール（特に 003368 と 003370）に記載された Issue 番号と本文要約 を一次情報として再構成し、Bitbucket 直接アクセスを伴わない範囲で WG の議論内容を表現している。

なお、Atlassian は2026年8月20日に Bitbucket Cloud Issues / Wiki の完全削除を予定しており、FAPI WG（および eKYC-IDA / iGov / MODRNA）は2026年中に GitHub 等への移行が必要となる見込み。9月時点ではこの告知は未だなされていない（告知は2026年3月の Atlassian 通知が起点）。

6. 関連イベント

ISO SC27 と SC44 の同時進行

9月17日の Nat Sakimura のリマインダーには「I'm ill-prepared as ISO SC27 and SC44 are going on this week.」とあり、9月17日のISO 標準化会議が並行開催されていたことが分かる:

• ISO/IEC JTC 1/SC 27 (Information security, cybersecurity and privacy protection): FAPI を ISO/IEC 25791 シリーズとして取り込む PAS プロセスを担当
• ISO/IEC JTC 1/SC 44 (Identity management): SC 27 と協調して identity 領域の国際標準化を進める

10月以降の FAPI WG 活動の柱となる ISO/IEC 25791-1 / 25791-2 WD レビューコメント対応（Issue #757〜#842）の起点が、この9月の SC27/SC44 会議週にあったとみられる。

2025年 Q4 の関連イベント（9月時点で予定されていたもの）

• 10月13〜16日: FIDO Authenticate（Carlsbad, CA）
• 10月20日: OIDF events / DCP WG hybrid meeting（San Jose, CA）— FAPI 関係者の登壇枠あり
• 10月21〜23日: IIW Fall 2025 / IIW 41（Mountain View）
• 11月1〜7日: IETF 124（Montreal）— OAuth WG / DPoP 等で FAPI 関連討論

7. 今後の予定（2025年9月末時点の視点）

9月末時点で FAPI WG が見据えていた当面の予定:

• 10月の Atlantic Call 継続: 10月1日・8日・15日・22日・29日の各水曜が想定枠
• Issue #754 (AP2 Impacts) の継続調査: AP2 の正式仕様確定を待ちつつ、FAPI 2.0 SP/AM との整合性評価を継続
• Issue #755 の Errata 作成: authorization code 60秒寿命・DPoP 要件の節再配置を含む Errata draft 化
• ISO/IEC 25791-1/-2 WD レビュー: SC27/SC44 から戻ってくる ISO 側コメントへの対応準備
• 2026年 OpenID Summit（仮）: ESCG 9月30日アンケートと連動した、2026年9月開催候補のグローバルイベント企画

8. 参考情報源

• FAPI Working Group - OpenID Foundation — WG 概要、共同議長、Final 仕様
• openid-specs-fapi 2025-September アーカイブ — 9月の ML スレッド一覧（投稿7件）
• Gentle Reminder for the FAPI Atlantic Call in half an hour (Nat Sakimura, 2025-09-10)
• Google announced AP2 (Nat Sakimura, 2025-09-17)
• Gentle reminder for FAPI Atlantic Call in 1.5 h (Nat Sakimura, 2025-09-17)
• Issue #754: Agent Payments Protocol (AP2) Impacts to FAPI (Nat Sakimura, 2025-09-17)
• Issue #754: Reply (Shannon Day, 2025-09-17)
• Issue #755: Wrong section clauses (Joseph Heenan, 2025-09-24)
• Friendly reminder for the FAPI Atlantic Call in 15 min (Nat Sakimura, 2025-09-24)
• bitbucket.org/openid/fapi — FAPI WG の正式リポジトリ（Bitbucket。Issue 詳細は SPA のため WebFetch では取得不可）
• Google AP2 (Agent Payments Protocol) 公式発表 — 9月16日 launch
• 2025年10月レポート — 翌月の続報（ISO 25791 WD レビューコメント対応 Issue #757〜#842）