Insofern kam mir die Idee, einfach alle Formulierungen in einer JSON-Datei zu speichern, auf die dann sowohl die PHP- als auch die JS-Validierung zugreift, in etwa so:

{
	"minlength":
	[
		{
			"username": "Der Benutzername darf nicht weniger als %s Zeichen lang sein."
		},
		{
			"password": "Das Passwort darf nicht weniger als %s Zeichen lang sein."
		}
	]
}

Meine Frage ist, ob etwas gegen ein solches Vorgehen spricht (z.B. aus Gründen der Sicherheit).

Sone Nachrichten vom Code zu trennen ist generell eine ganz gute Idee ;-) Es gibt große Frameworks, die Dir solche Fragen weitgehend abnehmen, aber da scheinst Du nicht unterwegs zu sein. Also: Ja, kannst Du so machen. Sicherheitsprobleme fallen mir da keine ein, außer jemand schmuggelt was in dein JSON rein.