Se bem me lembro, o recurso de acessibilidade de MP (Mensagem Privada) está disponível apenas para administradores. Moderadores não podem abrir mensagens de outros usuários. Portanto, a resposta simples é que você concede acesso de administrador apenas àqueles que especificamente atendem e gerenciam a própria instância do Discourse. De um ponto de vista técnico, aqueles que gerenciam sua instância podem obter acesso às MPs diretamente do banco de dados sem gerar entradas de log. Como administrador do site e do servidor em que ele está hospedado, a única maneira de impedir que os administradores obtenham esse nível de acesso é criptografar o conteúdo com uma chave que eles não possuem.
Para o nível de segurança que você procura, você basicamente precisa disso:
Eu não o usei (ainda), mas acredito que ele gera e armazena as chaves no lado do cliente de uma forma que elas não seriam acessíveis através do recurso de personificação. A chave ainda é armazenada localmente e a personificação não deve fornecer acesso a ela (pelo que sei). Esta é realmente a única maneira de proteger os dados no próprio banco de dados.