パスワード自体を暗号化してDBに格納するより、
パスワードからハッシュ値を計算してDBに格納した方が、
格納するべき文字列の長さが固定になるので、良い感じ。とか。
不可逆な値をパーシスタンスするのがミソなのです。
コリジョンの問題は残るケド…。

個人情報保護法対策は、確かにこれからだなぁ…と思います。
只、セキュリティ屋さんにはノウハウが沢山既にあるんじゃないかなぁ…とか。