要件12.1.2では，セキュリティ・ポリシーが正式なリスク評価につながる年間プロセスを含むことを求めている。PCI DSSにおいて，リスク評価は重要な要素である。

リスク評価

　正式なリスク評価とは，組織で承認された方法に基づく評価のことである。リスク評価は，一般的には情報資産，脅威および脆弱性の組み合わせによって行うが，PCI DSSにおける情報資産は以下のものが該当する。このうち，重要なファイルおよび重要なサービスについては，対象となるカード会員データ環境において，何が該当するかをあらかじめ特定しておく必要がある（表4）。

　実際のリスク評価手法としては、ISO/IEC TR 13335 GMITS（The Guidelines for the management of IT Security：ITセキュリティマネジメントのためのガイド）のPart3で紹介される詳細リスク分析が参考となる。詳細リスク分析では「情報資産の価値」「脅威」「脆弱性」およびリスクを低減させる可能性のある「既存および計画中の管理策」を洗い出し，それぞれを数値化することによりリスク水準を評価する手法が紹介されている。

　リスク評価の際には，脅威と脆弱性を特定する必要がある。情報資産に対する脅威は，一般的には，(1)破壊，(2)改ざん，(3)紛失あるいは盗難，(4)漏えい，(5)中断の5種類である。このため，脅威の候補には下記のようなものがある。

【リスク評価の対象となる脅威】
・重要なファイルの破壊
・カード会員データあるいはセンシティブ認証データの改ざん
・重要なファイルの改ざん
・カード会員データあるいはセンシティブ認証データの紛失あるいは盗難
・カード会員データあるいはセンシティブ認証データの漏えい
・重要なサービスの中断

　これらの脅威に対して，その原因となる事象を想定してリスク評価を行う。例えば，VISAが公開している「Incident Response Procedure」Version 1.2, 2004によれば，システムのセキュリティ侵害の原因となるセキュリティ・インシデントは，図1に挙げる4種類に分類される。

図1●セキュリティ・インシデントの分類

　4種類のセキュリティ・インシデントが発生した場合を想定して，リスク評価を実施することが望ましい。リスク評価は，PCI DSSのすべての要件を対象とする必要があるため，各要件に対応するリスク評価を網羅的に実施する。表5に、脆弱性評価の例を示す。

　このように，脆弱性評価を行った後にリスク評価を行う。リスク評価は「情報資産の価値」「脆弱性のレベル」および「脅威のレベル」を数値化して評価する。数値化およびこれらの数値を用いたリスク評価には，様々な手法が提唱されているため，ここではその詳細の記述は省略する。前述の資料を参考に，自らの事業体に合った手法を採用することを推奨する。

代替コントロールとリスク評価

　要件3.4への対応における代替コントロールの採用について，PCI DSSの「付録B：代替コントロール」で以下のように記述している。

　企業が技術的制約で，もしくは業務上の制約で（例えば暗号化などによって）カード会員データを判読不可能な状態にしておくことができない場合，代替コントロールが考えられうる。リスク分析を行い，かつ，正当な技術上のあるいは文書化された業務上の制約がある企業のみが，準拠達成のための代替コントロールの使用を考えてもよい。

　代替コントロールは，条件が整えば，要件3.4以外の要件への適用も可能である。リスク評価は，この条件における重要な要素となっている。すなわち，代替コントロールを導入する場合にはリスク評価を実施することが不可欠であり，導入した代替コントロールの有効性を見極めるために，導入後においても見直し評価を実施しなければならない。このことは，PCI DSSの準拠性において技術上あるいは業務上の制約がある企業にとって道を拓くものであるが，代替コントロールの導入を安易に検討すべきでないことを示唆している。