暗号化すべき情報とは？

データベースに登録する値の一部をアプリケーションで暗号化する事に関してですね。
どのデータを暗号化すべきか（どこまで暗号化すべきか）というのはケースバイケースな部分もあるとは思いますが、パスワードや個人情報などが挙げられると思います。

・可逆性があるのであれば、根本的に暗号化は無意味
・検索しにくくなる

この２番目の検索しにくくなるのはそうですね。
利便性は損ねるかもしれません。
（データベース側で暗号化する機能を使った場合はそうとも言い切れませんが）
１番目の方はまた後で。

その暗号化の意図と詳細も教えていただけると幸いです。

基本的にはリスク回避が目的です。
悪意ある行為またはミスによって、データベースの内容がすべて露出してしまった場合そのままで使えなければ安全・・・いや、安全ではないのですが、まだマシです。
（一方で実行中のアプリケーションで復号されたものがバシバシ流出するとしたら、そこに対しては意味はないでしょうね。）

たとえば以下は今簡単に暗号化したものですが、

64 C4 D9 3B 1D 8F 0B 5B 26 0D 63 D4 87 EA 83 1A 
B9 92 A3 96 99 ED F4 5B 18 D8 CC 10 18 65 B9 09

これを元に戻せますか？

・可逆性があるのであれば、根本的に暗号化は無意味

についてですが、これは「容易に可逆可能なら無意味」ではありますが、根本的には無意味とまではならないと思います。
暗号化されたバイト列を復号するには鍵が必要です。
この鍵の管理がずさんなら（データと共に鍵と暗号化方式またはデータを利用するプログラムのソースなどまでバレれば）、容易に可逆可能なので無意味と言えます。

先ほどの暗号化はAES暗号(CBC)を使っています。
キーとブロックは128bitです。
鍵は "teraTail" です。
そこまでわかれば暗号化した内容はたしかにほとんど意味はないでしょう。

パスワードなど一部のデータに関しては可逆である必要は必ずしもないので不可逆な暗号化にしておいても構いません。
（暗号化して同じ文字列になるかどうかで正しいか判断できるからです）

また、暗号化は「現実的な時間では解けない」という理屈の上で成り立っていて、絶対ではない点も留意しておいてください。

金融検査マニュアルに、こんな記述があります:

1. 金融機関が責任を負うべき顧客の重要情報を網羅的に洗い出し、把握、管理しているか。
2. 洗い出した顧客の重要情報について、重要度判定やリスク評価を実施しているか。また、それぞれの重要度やリスクに応じ、以下のような情報管理ルールを策定しているか。
3. 機密情報について、暗号化やマスキング等の管理ルールを定めているか。また、暗号化プログラム、暗号鍵、暗号化プログラムの設計書等の管理に関するルールを定めているか。なお、「機密情報」とは、暗証番号、パスワード、クレジットカード情報等、顧客に損失が発生する可能性のある情報をいう。

FISC 安全対策基準・解説書 には、こんな記述があります:

データ保護/漏洩防止/技28 蓄積データの漏洩防止策を講ずること。

これらに準拠するために、また監査で指摘されないために、顧客情報や機密情報は暗号化しています。

対象によってケースバイケースですが、OracleDBの透過的データ暗号化を使ったり、ネットワーク暗号化ツールを使ったり、電子政府推奨暗号リストを参考に、sha-2のようなトラップドア関数をかけたりします。

暗号化したまま検索が可能な秘匿検索技術 なるものがあるそうです。使ったことはないですが、興味があります。

社内の人給システムをマイナンバー対応にするときに暗号化の話がありました…。マイナンバーが平文でディスク上に存在してはならないみたいな要件があって、まぁ、対応のために購入するシステム(内製化なんて無理っすよ)は暗号化にもちろん対応しているんですけど、それをバックアップするときはどうするのかとか考えるのが面倒でした…。

さて、暗号化する理由は**「物理的な盗難」にあったときに備えるためというただ一点です。秘密鍵は地理的に別の場所にあることは当たり前の話**なので、ここでは議論しません。「論理的な盗難」は、プログラマーやSEが頑張れば、なんとかなる物です。セキュリティパッチを当てるとか脆弱性を防ぐ仕組みを随所に入れるとか、色々できます。ですが、どんなに強固なシステムであろうとも、盗んで、HDDを直接読んじゃえば、あってないような物です。

うちのサーバは○○社(好きな企業名を入れてください)のデータセンターにあるから…って言ってもやろうと思えばいくらでもできます。データセンターに入ったことがある人はわかるかと思いますが、結構簡単に入れます。中に入らないと作業できないから当たり前なんですけど、結局、性善説で入室を許可してしまいます。

A社のデータを盗もうとしたB社は、A社が利用しているデータセンターを把握し、A社のサーバと同じフロアにあるサーバを所有するC社を買収。A社から出向中のC社の関係者として、C社のサーバのメンテナンスだと申請し、堂々と玄関からデータセンターに入り、A社のサーバがあるフロアに侵入する。

なんて、産業スパイ映画(というより企業戦士Y○M○Z○KIにありそうって、古っ！)みたいなこともできないことは無いのです(もちろん、監視カメラやラックの鍵とかあるので、同じフロアに入れたからと言って簡単に盗めるというわけではありませんが)。専用フロアにすればいいって？どれだけ金が必要になるでしょうかね〜〜。うちなんて流行りのクラウドのA○Sだから大丈夫…いやいや、なんで外国のどこかにあるデータセンターがなぜ安全だと思うんですかね？クラウドなんて、物理的に一番信頼できないところです。それに、どんなに頑丈であっても、未曾有の天災で建屋が崩壊し、HDDが散らばっていた…なんてことが起きない保証は誰がしてくれるんでしょうか？(もちろん、一定以上の天災の場合の免責事項はちゃーんと契約書に書いてありますよ、責任は取れないって)

結局、どんなに金を掛けても物理を完全に防ぐ方法はありません。だからこそ、盗まれても大丈夫という仕組みを導入する事は意味があるのだと思います。

クレジット・カードの番号は漏えいすると致命的なことはご理解いただけますよね。詳細なテーブル定義情報、実際に実行されるSQLもまねされたくないなど、公開したくない場合もあります。

個人的には、情報自体を暗号化するのはちがうんじゃないかな、と。
やるとしたらシステムへの出し入れをセキュリティ的に固める方向で。
システム的には強固であっても、ソーシャルハッキングに対しては
ガバガバだってことはありがちですよね。
そのへんをどうバランスとって納得していくかじゃないのかなあ。

おっしゃる通り、可逆性のある暗号化では読み取ることが可能ではありますが、それでも無駄ではないかと思います。

例えば顧客情報を含むデータレコードであったとして、
データベースをごっそり抜き取られるようなケースを想定した場合、
そのままで顧客情報を読み取ることができてしまいます。

しかし暗号化されている場合、可逆化解読技術がない場合は、読み取られません。
それだけでも、情報流出を抑える意味があると思います。
（例えば可逆化に暗号キーが必要な場合であれば、さらに解読に手間がかかります）

完全ではないかもしれませんが、大事なお客様のデータを守るために、できることをできる限り行うことは無意味でないと思います。

では今とあるサイトでやっている事実だけを
クレジットカードや口座番号など本当にばれちゃいけないデータは外部サービスに保持してもらいそこからの電文を利用して処理しています。
まあその外部サービスが流出したらどうすんだという問題はありますが、自社でそういう情報を持っておくより安全です

個人の登録情報で暗号化する内容はパスワードだけ行っています。

私の場合は、小規模システムが多いので、データベースの暗号化という要件があまりないのですが、提案することもあまりないですね。しいて言えばパスワードのハッシュ化ぐらいなものです。

使い勝手やパフォーマンスの面でデメリットが大きいのは指摘の通りだと思います。
検索しにくくなるというのが最大の問題点だと思います。

物理盗難についての問題もありますが、これについてはファイルシステム自体を暗号化したりなど、別のレイヤで行ったほうがメリットが大きいように思います。