Co znamená, že klíč budou mít klientské aplikace? Bude aplikace nainstalovaná někde v počítači nebo mobilu uživatele, a ta v sobě bude mít klíč? To ani nemusíte webový portál nijak řešit, můžete ta data rovnou považovat za veřejná. Nebo „klientská aplikace“ bude nějaký aplikační server, ke kterému se teprve budou připojovat klienti? Pak je to srovnatelné, jako serverová aplikace webového portálu – v obou případech musíte řešit, aby ten klíč neunikl.
V první řadě bych řešil to, aby aplikace, která má k datům přistupovat, měla oprávnění (na úrovni DB uživatele) jenom k tabulkám a sloupcům, které má vidět. Čímž dostanete z hlediska aplikací stejné zabezpečení, jako když budete používat klíč (předpokládám, že jste chtěl používat jeden klíč pro všechna data).
Dále řešte to, aby se útočník nedostal do těch aplikací, které budou k databázi přistupovat. Tj. určitě nemohou být nainstalované na zařízení uživatele, musí to být server pod vaší správou. Tohle (ochrana proti SQl injection, útokům na server atd.) je ten nejdůležitější prvek zabezpečení, na ten se soustřeďte a neřešte hlouposti jako šifrování dat.
Další zabezpečení (třeba i před správci) by mohlo být šifrování na úrovni databáze nebo šifrování disku. Ale kdybyste potřeboval takovouhle úroveň zabezpečení, neptal byste se v diskusním fóru.