Não. Os dados do escopo do PCI são números de cartão de crédito, que são geralmente chamados de Número da conta principal. (PAN)
A definição do glossário é a seguinte:
Acronym for “primary account number” and also referred to as “account number.” Unique payment card number (typically for credit or debit cards) that identifies the issuer and the particular cardholder account.
No entanto, se estiver localizado nos Estados Unidos, você provavelmente estará sujeito às leis estaduais e federais ao armazenar o número do CPF e eu sugiro que você o trate como dados de escopo do PCI. Se você não for compatível com PCI, eu procurarei as leis específicas aplicáveis e trate-a da maneira mais confidencial possível em seu ambiente. Uma boa ideia seria consultar um advogado.
De uma perspectiva profissional, gosto de tratar os dados da maneira mais cuidadosa possível. Costumo considerar como o público reagiria às minhas ações se fosse revelado de maneira não intencional e agisse da maneira mais responsável possível.