con questo metodo non è possibile, perchè la richiesta viene fatta dal browser, il quale passa attraverso il web server, che gira con un utente ben definito.

Quello che puoi fare è aprire una connessione ftp tramite php con l'utente e la pass appropriati, leggere il file, copiarlo in un file temporaneo in una locazione temporanea, e anzichè dare l'url all'utente lo leggi tramite readfile.

In questo modo l'utente non ha l'indirizzo fisico al file, e tu potrai cancellare il file temporaneo (magari puoi anche metterlo in una dir che non sia accessibile al web server, in modo da essere ancora più sicuro che non possa essere letto).