fsモジュールで個人情報等が入っているファイルを管理するのは危険？

はい、まぁまぁ危険です。
しかし質問者さんの懸念と私の懸念はかなりギャップがあると思うので解説していきます。

サービスの提供者は、利用者から個人情報を受け取る場合、
下記の事を要求されます。

• 情報を漏洩させない <- 質問者さんの懸念
• 情報が勝手になくなったりしない <- 私の懸念

漏洩するかしないかで言えば、
fsコマンドはNode.jsの標準モジュールですのでウィルスが混入するか否かの点で相当セキュアです。
何処かの誰かが作ったライブラリで知らない内に漏洩してたという懸念はありません。

まぁ、Node.jsで書いたコード越しにユーザーに他人の情報を勝手に渡したらアウトですが、
それ言い始めたらWebサービスなんてするなみたいな話になっちゃうのでお互い頑張りましょ。

既製品のどんなシステムも結局Webサーバのマシンがハッカーの手に落ちて抜かれたらアウトです。

個人開発のような人生オワタを避ける為に究極的には持たないというアプローチは有効です。
ログインせざるを得ないサービスを開発する場合でも、
GoogleのFirehoseやAWSのcognitoといったサービスに委託して極力持たなかったり、
OAuthのようなGoogleやTwitterのサービスのログイン情報を間借りする形がよく取られるアプローチです。

例えば企業ではリスクをとって個人情報を抱える決断を行い、
パスワードのような要らない情報はSHA-1のようなハッシュ化で潰してしまうといった対策になります。
これで万が一漏洩してもちょっとだけ安心。

Webサービスのセキュリティのアドバイスなんかを行ってくれる会社なんてのもありますから、
個人情報を抱える必要はあるが、漏洩するとヤバイケースでは利用することも視野に入れましょう。

問題は情報が勝手になくなったりしない方で、
fsでの個人情報の管理は相当神経質に実装する必要があります。

インターネット黎明期の掲示板サイトなんかは
テキストファイルに利用者の書き込み情報を書き足すという方式で運営していました。
その結果、大変な事になります。

複数人の利用者が同時に書き込むようなケースで、
Aさんの発言だけがファイルに反映され、BさんやCさんの発言は衝突して消されてしまうという問題です。
なので、同時書き込み耐性としてファイルのロックといった様々な技術を駆使することになります。
まぁそのロック処理も大問題なんですけどね。

• ファイルをロックしたプロセスが解除する前にエラーで落ちてロックしっぱなしになる
• AとBの2ファイルをロックしたいプロセスが2個あり、それぞれのプロセス片方のファイルをロックしてしまいお見合いしたまま一生解除待ちになる(デッドロック)
• 上記を高度に解決しつつ高速なファイルの読み書き

その辺の問題に立ち向かった人類の汗と涙の結晶がMySQL等の関係データベースです。
teratailにも沢山プロのエンジニアが居ますが、MySQLに匹敵するようなファイルベースの読み書きロジックをほいと作れるような人間なんて居ないと言い切って良いでしょう。
まさに人生を賭けた大プロジェクトになるわけですよ。

自分ひとりが自宅内でWebサーバ建ててこっそり使う程度ならいざしらず
広く公開して不特定多数の人に使ってもらう事がゴールならば、
絶対にやめとけ、既製品使えとアドバイスします。