Um pouco fora do tópico… mas você pode se interessar por Discourse Encrypt (deprecated) para mensagens verdadeiramente ‘privadas’. Backups vazados ou roubados de MPs criptografadas não seriam legíveis por um atacante.
(embora, como você disse, ainda haja a premissa de que os administradores são confiáveis)