Как отделить личность человека от его личных данных?

Я пишу приложение, основная цель которого - сохранить список покупок пользователей .

Я хотел бы убедиться, что даже я как разработчик (или любой человек, имеющий полный доступ к базе данных) не мог выяснить, сколько денег конкретный человек потратил или что у него есть купили.

Изначально я придумал следующую схему:

    --------------+------------+-----------
    user_hash     | item       | price
    --------------+------------+-----------
    a45cd654fe810 | Strip club |     400.00
    a45cd654fe810 | Ferrari    | 1510800.00
    54da2241211c2 | Beer       |       5.00
    54da2241211c2 | iPhone     |     399.00

• Пользователь входит в систему с именем пользователя и паролем.
• Из пароля вычислить user_hash (возможно, с засолением и т. Д.).
• Используйте хеш для доступа к данным пользователей с помощью обычных SQL-запросов.

При достаточном количестве пользователей почти невозможно определить, сколько денег потратил конкретный пользователь, просто зная его имя.

Это разумный поступок или я совершенно глуп?