hm, administrator má přístup fyzicky k serverům a tím zároveň k datům, tomu bez šifrování nezabráníš (dat i přenosů). Často se zapomíná na únik informací právě z takových audit logů, které nebývají dobře zabezpečeny, protože se všichni soustředí na primární data.
Zakázat "select *" nic neřeší, tak si ty sloupce vyjmenuje, řešením je ABAC a analýza chování jednotlivých zaměstnanců, stejně tak anonymizování dat či šifrování konkrétních hodnot atd.
Nezapomeň, že ne všichni přistupují k datům přes sql, ale řada přístupů může být přes interní systémy a tam zase musíš řešiš nějakou vrstvu, která zabrání dolovat data.