自分は、個人情報保護の範囲として、パスワードの暗号化や二次被害対策を盛り込むべきか、ということを聞きたかったんです。 ハッシュ化が不十分っていうなら、別にソルトとsha-256のハッシュ関数をHMACで暗号化するっていう話でもいいです。 また、原則クラッカー側のほうが強い訳だから、被害を受けることを前提とした二次被害についての対策を講じないのは、個人情報を保護する観点から不十分なのではないですか、という趣旨です。