Si mal no recuerdo, la función de accesibilidad de PM solo está disponible para los administradores. Los moderadores no pueden abrir los mensajes de otros usuarios. Por lo tanto, la respuesta simple es que solo otorga acceso de administrador a aquellos que específicamente dan servicio y administran la instancia de Discourse. Desde un punto de vista técnico, quienes administran tu instancia podrían acceder a los PM desde la propia base de datos sin generar entradas de registro. Como administrador del sitio y del servidor en el que se encuentra, la única forma de evitar que los administradores obtengan ese nivel de acceso es cifrar el contenido con una clave que no tengan.
Para el nivel de seguridad que buscas, básicamente necesitas esto:
No lo he usado (todavía), pero creo que genera y almacena las claves del lado del cliente de una manera que no serían accesibles a través de la función de suplantación. La clave todavía se almacena localmente y la suplantación no debería proporcionar acceso a ella (hasta donde yo sé). Esta es realmente la única forma de proteger los datos en la propia base de datos.